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内 容 拓 要 


本 书 围绕 网 络 安全 话题 展开 ， 涉 及 网 络 安全 与 经 济 、 网 络 攻 击 手 
段 、 恶 意 软 件 、 金 融 诈 骗 、 威 胁 及 漏洞 管理 、 银 行业 面临 的 网 络 安全 问 
题 、 风 险 管 理 、 事 件 管理 、 数 据 保 护 、 区 块 链 技术 、 人 工 智 能 与 网 络 安 
全 、 量 子 技术 等 热点 ， 全 面 而 系统 地 分 析 了 全 球 网 络 安全 态势 ， 揭 示 了 
金融 行业 面临 的 网 络 安全 挑战 。 





本 书 从 金融 视角 全 面 解读 网 络 安全 ， 适 合 
师 、 风 险 管理 人 员 、 渗 透 测 试 人 员 阅 读 ， 也 适 
者 阅读 。 


金融 服务 领域 的 安全 架构 
合 对 网 络 安全 感 兴趣 的 读 


BH SC er HY ti 


IRRÆ, ZARA EAH FC ALS EMNE — FS 


Pe EN ERRER, Bit, S MARB VPN (虚拟 专 
用 网 ) 到 网 络 攻防 、 社 会 工程 学 、 法 律 文化 的 方方面面 。 尤 具 挑 战 性 的 
是 ， 网 络 安全 不 可 能 超越 现实 而 抽象 存在 ， 它 必须 深 植 于 社会 各 行业 的 
各 种 应 用 场景 之 中 。 而 我 们 需要 应 对 与 解决 的 安全 问题 ， 完 其 背后 的 原 
因 ， 可 能 是 政治 军事 、 经 济 利益 、 文 化 差异 ， 也 可 能 是 意识 薄弱 、 代 码 
质量 参差 不 齐 、 协 议 漏 洞 、 管 理 纶 漏 ， 诸 如 此 类 ， 更 有 “ 道 融 一 尺 、 魔 
局 一 丈 ” 的 识 语 ， 让 网 络 安全 变 得 更 加 错综复杂 、 干 变 万 化 。 























因此 ， 面 对 日 新 月 异 的 网 络 安全 形势 ， 网 络 安全 从 业者 束 需 要 不 断 
学 习 、 持 续 积 累 、 因 地 制 宜 、 实 事 求 是 。 如 何 结合 自己 的 行业 专业 背 
景 ， 强 化 网 络 安全 思维 与 实战 能 力 ， 也 显得 非常 重要 。 上 述 需求 也 将 行 
业 化 的 网 络 安全 理论 知识 与 实战 技能 总 结 所 上 了 日 程 。 








在 审 校 过 程 中 ， 我 作为 第 一 读者 ， 对 人 民 邮 电 出 版 社 选 译 的 这 本 
《金融 网 络 安全 》 进 行 了 仔细 研读 。 总 体 上 ， 我 认为 这 本 书 在 网 络 安全 
与 金融 行业 的 交叉 领域 作 了 系统 、 有 益 的 探索 ， 对 于 非 网 络 安全 专业 人 
员 来 说 ， 可 以 据 此 一 颖 网 络 安全 的 门 径 ， 对 金融 行业 的 网 络 安全 从 业者 
来 说 ， 则 可 以 通过 本 书 更 全 面 地 掌握 金融 网 络 安全 的 主要 脉络 。 





本 书 的 写作 风格 是 “ 既 见 树木 ， 又 见 和 森林 ， 深 入 浅 出 、 平 易 近 人 ”。 


两 位 作者 将 网 络 安全 的 各 个 分 支 条 分 缕 析 ， 和 叙述 层次 极为 分 明 ， 文 字 内 
容 要 言 不 繁 。 同 时 ， 将 金融 行业 中 的 常见 网 络 安全 问题 与 安全 技术 应 用 
员 穿 全 书 ， 进 行 了 完整 刻画 与 总 结 分 析 ， 如 信用 卡 欺 诈 、 金 融 木马 、 
ATM 〈 上 自动 柜员 机 ) 与 POS《〈 销 售 点 ) Boo. eE PEAR AR 
攻击 等 ， 书 中 不 乏 精 彩 的 案例 。 





显然 ， 两 位 原著 作者 认为 ， 金 融 技 术 的 快速 及 展会 让 网 络 安全 的 前 
TAN FS El ZA, MAE, ea Se IT KRGE ATE 
能 、 量 子 技术 等 与 网 络 安全 相关 的 前 沿 技术 。 


本 书 未 对 金融 网 络 安全 重大 技术 内 容 展 开 深入 讨论 ， 据 我 个 人 撕 
摩 ， 很 大 程度 上 是 受 本 书 篇 幅 与 定位 押 限 。 当 然 ， 目 前 这 种 内 容 深 度 的 
把 控 很 容易 让 本 书 成 为 金融 网 络 安全 入 门 读 本 。 











最 后 ， 审 校 者 提醒 本 书 读者 ; 网 络 安全 是 一 个 内 容 庞杂 的 领域 ， 正 
在 日 新 月 异地 发 展 ， 著 者 与 读者 在 政治 、 法 律 、 文 化 甚至 技术 等 多 个 方 
面 的 学 识 与 立场 难免 存在 种 种 差 寞 ， 译 者 为 中 于 原 着 而 在 本 书 中 保留 下 
来 的 茶 些 著者 观点 请 读者 认真 辨析 。 





钱 晓 斌 《笔名 “文武 ”) 


2021 年 3 月 28 日 


译 者 简介 








RR, ERRA (ThoughtWorks) 高 级 安全 咨询 师 ， 拥 有 7 年 信 
息 安全 行业 经 验 与 开发 经 验 ， 专 注 于 内 建安 全 、 企 业 安 全 攻防 与 建设 ， 
是 一 名 应 用 安全 漏洞 挖掘 爱好 者 。 











IR 


马 伟 ， 恩 特 沃克 (ThoughtWorks〉 中 国 区 信息 安全 团队 负责 人 ， 资 
深 安全 咨询 师 ，OWASP 开 源 项 目 代码 贡献 者 。 长 期 专注 于 应 用 安全 技 
术 与 实践 ， 对 如 何 将 安全 实践 融入 到 敏捷 开发 之 中 有 深入 的 研究 和 实践 


经 验 。 








审 校 者 简介 


钱 晓 送 ， 国 内 知名 网 络 安全 专家 ， 原 华为 安全 研 完 部 部 长 、 企 业 网 
络 产 品 线 首 席 安 全 架构 师 ， 现 任国 卫 信 安 CTO、 中 国 工程 院 中 国电 子 与 
言 恩 工程 科技 发 展 战 略 研 究 中 心 专家 委员 会 特聘 专家 、 教 育 部 高 等 学 校 
网 络 安全 专业 教学 指导 委员 会 秘书 。 长 期 关注 网 络 安全 前 沿 技术 ， 网 络 
安全 人 才 培 养 。 














RR i] 


证 以 本 书 献 给 我 的 妻子 和 孩子 ! 感谢 我 的 妻子 ， 因 为 她 ， 我 才能 成 
为 今天 的 我 ;感谢 我 的 儿子 ， 他 是 我 最 好 的 朋友 和 文 持 者 ;感谢 我 的 女 
儿 ， 她 是 我 最 好 的 朋友 和 能 量 的 来 源 。 


龙 和 尔 达 , 奥 效 卡 亚 〈Erdal Ozkaya) 





说 以 本 书 献 给 我 生命 中 最 重要 的 3 个 女人 : 我 的 母亲 ， 她 一 直 照 顾 
ER: 我 的 妹妹 ， 她 帮助 我 成 为 一 个 更 好 的 人 ; 我 的 妻子 ， 她 让 我 意识 
到 生命 中 什么 才 是 真正 重要 的 。 


— 米 拉 德 。 阿 斯 兰 纳 (Milad Aslaner) 


序 


随 着 网 络 犯 罪 给 关键 商 业 基 础 设施 、 全 球 经 济 和 金融 稳定 带 来 的 威 
胁 不 断 增 长 ， 所 有 的 行业 、 地 区 和 部 门 都 需要 保持 警惕 并 艾 善 应 对 。 金 
融 服 务 企业 可 以 借助 许多 工具 和 技术 来 保护 其 基础 设施 、 数 据 和 人 员 ， 
使 其 不 受 损 害 。 对 大 型 的 全 球 性 企业 来 次 ， 可 用 的 解决 方案 数量 非常 庞 
大 ， 即 使 对 那些 处 于 发 展 中 、 资 金 不 充裕 、 安 全 部 门人 员 不 足 的 企业 来 
次 也 是 如 此 。 人 入 而 久之 ， 人 们 就 会 以 为 这 类 技术 和 工具 似乎 已 经 过 剩 。 
在 本 书 中 ， 两 位 作者 全 面 探讨 了 如 何 防御 全 球 金融 企业 当前 面 对 的 和 正 
在 出 现 的 安全 威胁 。 他 们 关注 网 络 弹 性 和 网 络 卫 生 (Cyber Hygiene) 的 
基础 ， 并 给 出 实际 的 建议 以 降低 复 林 性 。 随 看 全 球 安全 威胁 的 数量 和 复 
杂 性 不 断 增 加 ， 做 好 基础 工作 往往 很 重要 。 先 进 的 工具 固然 是 有 价值 
的 ， 然 而 在 构建 和 运行 可 扩展 的 、 可 持续 的 安全 的 应 用 程序 的 过 程 中 ， 
流程 、 人 员 和 工具 的 配合 是 我 们 能 够 长 期 获得 成 功 的 关键 。 两 位 作者 都 
分 有 了 与 之 相关 的 、 有 具体 实施 的 经 验 ， 我 鼓励 读者 以 务实 的 态度 来 阅读 
这 本 书 ， 同 时 将 其 视 为 在 未 来 成 功 构 建安 全 的 应 用 程序 的 基石 。 



































— eH] Fiji (Ann S. Johnson) 


微软 副 总 裁 


作者 简介 


厄 尔 达 。 奥 北 卡 亚 〈Erdal Ozkaya) 博士 是 一 位 网 络 安全 专业 人 

员 ， 擅 长 业务 开发 、 管 理 和 学 术 研究 。 他 致力 于 保护 网 络 空 间 安 全 ， 并 
以 安全 顾问 、 演 讲 者 、 讲 师 和 作者 的 身份 分 享 自己 的 知识 。Erdal 非 常 热 
衷 于 参与 社区 中 与 提升 网 络 安全 意识 相关 的 活动 。 他 利用 创新 的 方法 和 
技术 来 解决 世界 各 地 的 个 人 和 企业 对 信息 安全 以 及 隐私 的 需求 。 他 与 其 
他 人 合 著 了 许多 与 网 络 安全 相关 的 书籍 ， 并 编写 了 针对 不 同 供应 商 的 安 
全 认证 课件 和 试题 。 同 时 ，Erdal 还 是 澳大利亚 查尔斯 特大 学 的 兼职 讲 
师 。 














非常 感谢 我 的 家 人 和 朋友 ， 你 们 与 我 分 享 反 馈 并 帮助 我 变 得 更 好 。 
当 我 回首 至 今 的 人 生 时 ， 你 们 永远 古 我 回忆 中 最 美好 的 一 部 分 。 我 辐 你 
们 保证 ， 无 论 你 们 何 时 需要 我 ， 我 一 定 会 在 你 们 号 边 ， 正 如 你 们 一 如 既 
往 地 陪伴 我 那样 。 我 不 会 特别 提 到 茶 个 人 的 名 字 ， 因 为 我 不 想 遗 漏 你 们 
中 的 任何 一 个 ， 但 你 们 一 定 知道 我 说 的 是 谁 。 





米 拉 德 * 阿 斯 兰 纳 (Milad Aslaner) 是 一 位 安全 专家 ， 在 项 目 管理 
和 软件 工程 方面 拥有 10 多 年 的 丰富 经 验 。 他 曾 编写 过 多 部 与 社会 工程 、 
网 络 安全 的 实际 应 用 以 及 金融 服务 行业 中 的 网 络 安全 相关 的 资料 与 图 
书 ， 技 术 涉及 端点 检测 和 响应 CEDR) 、 威 胁 及 脆弱 性 管理 
(TVM) 、 事 件 啊 应 、 攻 防 技术 。 他 在 2012 年 加 入 微软 ， 领 导 了 
Surface Book 和 Laptop 的 商业 软件 开发 团队 ， 并 建立 了 Surface 企 业 管 理 








模式 (SEMM) 等 安全 功能 。 作 为 一 名 高 级 安全 项 目 经 理 ， 他 致力 于 实 
现 新 方案 以 应 对 战略 性 企业 客户 的 需求 ， 从 而 保护 微软 的 客户 免 受 不 断 
发 展 的 安全 威胁 。 





爱 因 斯 坦 曾 经 说 过 :“ 当 你 停止 学 习 ， 你 就 会 开始 ' 死 二"。? 我 很 赞 
同 这 句 话 ， 这 也 是 我 开始 写作 的 动力 之 一 。 我 还 记得 我 在 写 第 1 章 时 ， 
就 想象 着 读者 会 如 何 消化 这 些 知 识 并 由 此 取得 更 大 的 成 功 ， 而 我 也 因此 
感到 上 自 蚂 和 骄 做 。 当 然 ， 这 一 切 都 离 不 开 我 的 家 人 、 朋 友和 同事 。 


拉 术 审 校 省 简介 





阿迪 亚 。 穆 克 吉 (Aditya Mukherjee) 博士 是 一 名 资深 的 网 络 安全 
专家 ， 拥 有 超过 11 年 的 行业 经 验 ， 曾 为 多 家 财主 500 强 企业 和 政府 实体 
提供 安全 咨询 服务 ， 管 理 专注 于 客户 关系 的 大 型 团队 ， 并 建立 服务 线 
路 。 他 的 职业 生涯 始 于 一 名 企业 家 ， 他 的 专长 是 实施 网 络 安全 解决 方 
案 / 网 络 转型 项 目 ， 并 应 对 与 安全 架构 、 框 架 和 政策 相关 的 挑战 。 在 职 
业 生 涯 中 ， 他 获得 了 各 种 行业 的 认可 和 奖项 ， 其 中 最 近 的 是 2018 年 最 有 具 
创新 力 /最 有 具 活 力 的 CISO、 人 年度 网 络 护卫 ， 以 及 卓越 的 管理 领域 堵 誉 博 
a 











我 要 感谢 所 有 文 持 我 的 人 ， 尤 其 是 我 的 母亲 ， 如 果 没 有 她 的 支持 ， 
我 难以 获得 这 些 成 束 。 感 谢 本 书 的 两 位 作者 ， 他 们 辛勤 地 工作 和 奉献 ， 
才 创 造 了 书 中 优秀 的 内 容 。 另 外 ， 非 常 感谢 Packt 团 队 和 营造 了 一 个 非常 
棒 的 学 习 环境 ， 以 及 德 拉 什 攻 (Drashti〉 的 大 力 支 持 ， 在 他 们 的 付出 
下 ， 本 书 才 能 最 终 呈现 在 你 的 面前 。 











库 纳 尔 * 塞 加 尔 〈Kunal Sehgal)〉 在 过 去 15 年 里 一 直 在 金融 机 构 担 
任 重 要 的 网 络 安全 角色 ， 同 时 他 也 是 热心 的 博客 作者 和 议题 分 享 者 ， 经 
常 在 亚洲 发 表 与 网 络 相 关 的 话题 。 他 拥有 旁遮普 大 学 计算 机 应 用 专业 的 
学 士 学 位 ， 以 及 格鲁吉亚 信息 与 网 络 安全 学 院 的 硕士 学 位 。 他 还 拥有 众 
多 与 网 络 安全 相关 的 认证 ， 包 括 国际 认证 信息 系统 审计 师 (CISA) 、 
言 息 系 统 安全 专业 认证 (CISSP〉、 认 证 信息 安全 经 理 (CISM) 、 

















Tenable Nessus 审 计 师 认证 (TCNA) 、 云 计算 安全 知识 认证 
(CCSK) . ISO 27001 首 席 审 计 师 、Offensive 安 全 专家 认证 
(OSCP) 、CompTIA Security+ 等 。 


说 以 本 书 献 给 我 杀 爱 的 女儿 。 


HV = 


本 书 将 带领 读者 循序 渐进 地 了 解 金融 网 络 安全 ， 并 学 习 如 何 保护 企 
业 免 受 这 些 威胁 。 本 书 将 通过 一 些 真实 场景 的 案例 ， 讲 解 如 何 应 对 和 解 
决 金融 网 络 安全 威胁 。 读 者 在 阅读 的 过 程 中 ， 将 了 解 到 不 同类 型 的 安全 
汤 洞 和 缺陷 (包括 人 为 风险 因素 ) ， 并 可 以 从 安全 专家 的 角度 训 析 攻击 
者 。 在 本 书 的 最 后 ， 读 者 将 获得 洞察 网 络 安全 未 来 的 能 力 ， 以 及 在 保护 
金融 服务 和 相关 基础 设施 方面 的 实践 经 验 。 


本 书 的 目标 读者 





如 果 你 是 一 名 安全 架构 师 、 网 络 安全 风险 管理 人 员 或 想 要 保护 企业 
网 络 安全 的 渗透 测试 人 员 ， 那 么 本 书 正 适合 你 。 


本 书 的 主要 内 容 


第 1 草 ， 网 络 安全 与 经 济 。 本 章 将 概述 当前 与 金融 行业 相关 的 技 
术 、 基 础 设施 ， 以 及 成 为 网 络 犯罪 主要 目标 的 整体 金融 行业 。 


第 2 章 ， 网 络 的 攻击 者 。 本 章 将 对 攻击 者 和 网 络 犯 罪 给 出 深入 的 解 
释 ， 并 涵盖 相关 的 案例 研究 。 





第 3 章 ， 成 本 计算 。 本 章 主 要 分 析 网 络 安全 专家 的 报告 ， 涵 亩 与 网 





络 攻击 和 网 络 安全 相关 的 成 本 计算 。 





第 4 章 ， 威 胁 态 势 。 本 章 简要 讨论 对 最 终 用 户 和 金融 机 构 的 威胁 。 


Set, AHNE, BIR IE A Ae E a VE Ss D BCH AE E o 
本 章 将 为 读者 深入 介绍 恶意 技术 是 如 何 被 攻击 者 用 来 获取 敏感 信息 的 。 





第 6 音 ， 恶 意 软 件 。 本 章 将 介绍 不 同 的 恶意 软件 类 别 ， 并 解释 它们 
征 如 何 传播 的 ， 这 有 助 于 规划 防御 策略 。 








第 7 音 ， 漏 洞 和 漏洞 利用 程序 。 本 章 将 深入 探讨 不 同 的 漏洞 利用 拉 
术 ， 如 缓冲 区 淤 出 、 苋 态 条 件 、 内 存 人 破坏 ， 并 解释 攻击 者 是 如 何 实现 这 
些 漏洞 利用 技术 的 。 


第 8 音 ， 攻 击 网 上 银行 系统 。 本 章 将 关注 在 线 金 融 系 统 ， 包 括 黑 客 
是 如 何 渗透 和 攻破 目标 程序 的 ， 以 及 我 们 该 如 何 实施 保护 。 


第 9 章 ， 脆 弱 的 网 络 和 服务 一 一 入 侵入 口 。 本 章 将 介绍 网 络 传输 与 
网 络 协议 对 于 网 络 安全 的 重要 性 。 


第 10 章 ， 应 对 服务 中 断 。 本 章 将 深入 介绍 什么 是 网 络 安全 事件 以 及 
如 何 建立 事件 啊 应 计划 。 


第 11 章 ， 人 为 因素 一 一 失败 的 治理 。 本 章 将 介绍 影响 整个 网 络 安全 
实施 的 人 为 因素 ， 包 括 标准 、 策 略 、 配 置 、 架 构 等 。 





第 12 草 ， 安 全 边界 和 资产 保护 。 本 章 将 深入 介绍 最 常用 的 IT 外 围 设 
备 安全 模型 〈 单 信任 网 络 模型 ) ， 然 后 分 享 对 双重 信任 网 络 模型 的 见 








解 ， 最 后 介绍 零 信 任 网 络 模型 。 


JI 


第 13 章 ， 威 胁 及 漏洞 管理 。 本 章 将 介绍 企业 在 威胁 和 漏洞 管理 中 
的 3 个 关键 的 流程 。 


第 14 章 ， 审 计 、 风 险 管理 以 及 事件 处 理 。 本 章 将 介绍 如 何 使 用 威胁 
模型 、 分 析 、 测 试 、 软 件 生命 周期 来 保护 资产 ， 并 实现 对 软件 工程 过 程 
的 监控 以 确保 质量 





第 15 间 ， 用 于 保护 数据 和 服务 的 加 密 与 密码 学 技术 。 本 革 将 介绍 早 
期 的 加 密 方 法 以 及 后 来 的 发 展 ， 同 时 介绍 各 种 技术 以 及 相关 的 挑战 。 





第 16 章 ， 区 块 链 的 兴起 。 本 章 将 介绍 当前 全 球 经 济 面 临 的 重要 变 
化 一 一 区 块 链 和 加 密 货 


第 17 音 ， 人 工 智 能 与 网 络 安全 。 本 章 将 评估 人 工 智 能 CAD 的 使 用 
增加 所 带 来 的 影响 ， 这 也 许 会 很 快 成 为 下 一 个 游戏 规则 改变 者 。 











第 18 章 ， 量 子 与 未 来 。 本 章 将 讨论 量子 计算 未 来 会 给 区 块 链 带 来 的 
改变 。 


对 网 络 安全 工具 及 其 使 用 方法 的 基本 了 解 将 帮助 你 充分 利用 本 书 。 


下 载 本 书 的 插图 


读者 可 以 在 异步 社区 下 载 与 本 书 配套 的 彩 图 。 





作者 和 编辑 尽 最 大 努力 来 确保 书 中 内 容 的 准确 性 ， 但 难免 会 存在 下 
漏 。 欢 迎 您 将 友 现 的 问题 反馈 给 我 们 ， 帮 助 我 们 提升 图 书 的 质量 。 


当 您 发 现 错误 时 ， 请 登录 异步 社区 ， 按 书 名 搜索 ， 进 入 本 书页 面 ， 
扩 击 “提交 勘误 ”"， 输 入 勘误 信息 ， 点 击 “ 提 交 ” 按 钮 即 可 。 本 书 的 作者 和 
编辑 会 对 您 提交 的 勘误 进行 审核 ， 确 认 并 接受 后 ， 您 将 获 赠 寞 步 社区 的 
100 积 分 。 积 分 可 用 于 在 异步 社区 部 换 优 囊 券 、 样 书 或 奖品 。 

















与 我 们 联系 


我 们 的 联系 邮箱 是 contact@epubit.com.cn。 


如 果 您 对 本 书 有 任何 疑问 或 建议 ， 请 您 发 邮件 给 我 们 ， 并 请 在 邮件 
标题 中 注 明 本 书 书 名 ， 以 便 我 们 更 高 效 地 做 出 反馈 。 


如 采 您 有 兴趣 出 版 图 书 、 录 制 教学 视频 ， 或 者 参与 图 书 翻译 、 技 术 
审 校 等 工作 ， 可 以 发 邮件 给 我 们 ;， 有意 出 版 图 书 的 作者 也 可 以 到 异步 社 
区 在 线 投稿 ( 直接 访问 www.epubit.com/selfpublish/ submission 即 可 ) 。 


如 果 您 所 在 的 学 校 、 培 训 机 构 或 企业 ， 想 批量 购买 本 书 或 异步 社区 
出 版 的 其 他 图 书 ， 也 可 以 发 邮件 给 我 们 。 


如 果 您 在 网 上 发 现 有 针对 异步 社区 出 品 图 书 的 各 种 形式 的 盗版 行 
为 ， 包 括 对 图 书 全 部 或 部 分 内 容 的 非 授 权 传 播 ， 请 您 将 怀疑 有 侵权 行为 
的 链接 发 邮件 给 我 们 。 您 的 这 一 举动 是 对 作者 权益 的 保护， 也 是 我 们 持 
续 为 您 提供 有 价值 的 内 容 的 动力 之 源 。 








天 于 异步 社区 和 异步 图 书 


“异步 社 区 ”是 人 民 邮 电 出 版 社 旗下 IT 专 业 图 书社 区 ， 致 力 于 出 版 精 
品 IT 技术 图 书 和 相关 学 习 产 品 ， 为 作 译 者 提供 优质 出 版 服务 。 异 步 社 区 
创办 于 2015 年 8 月 ， 提 供 大 量 精 品 IT 技术 图 书 和 电子 书 ， 以 及 高 品质 技 
术 文 章 和 视频 谍 程 。 更 多 详情 请 访问 异步 社区 官网 


https://www.epubit.com. 








“异步 图 书 ” 是 由 异步 社区 编辑 团队 集 划 出 版 的 精品 开 专 业 图 书 的 品 
牌 ， 依 托 于 人 民 邮 电 出 版 社 近 40 年 的 计算 机 图 书 出 版 积累 和 专业 编辑 团 


队 ， 相 关 图 书 在 封面 上 印 有 异步 图 书 的 Logo。 卉 步 图 书 的 出 版 领域 包括 
软件 开 及 、 大 数据 、 人 工 智 能 、 测 试 、 前 病 、 网 络 技术 等 。 





微 信 服务 号 


第 1 章 网络 安全 与 经 济 





随 着 网 络 攻 击 的 增多 ， 网 络 安全 与 经 济 之 间 的 关系 变 得 越 来 越 紧 
密 。 网 络 攻击 使 人 们 逐渐 意识 到 网 络 安 全 的 重要 性 。 如 今 ， 网 络 攻 击 已 
经 变 得 十 分 广泛 且 普 和 过， 甚至 对 茶 些 公司 而 言 ， 遭 受 攻击 是 预料 之 中 的 
事情 。 新 的 攻击 在 短 时 间 内 层出不穷 ， 地 下 经 济 的 存在 是 其 重要 原因 ， 
在 那里 ， 专 业 黑 客 为 排队 等 待 中 的 网 络 罪 犯 制 造 恶 意 软 件 并 向 其 售卖 。 
人 们 已 经 明显 感受 到 网 络 攻 击 的 影响 ， 并 且 有 报道 称 ， 这 些 攻 击 只 会 变 
得 更 恶劣 ， 甚 至 可 能 对 全 球 经 济 造成 破坏 。 在 这 里 ， 我 们 将 介绍 网 络 安 
全 ， 并 将 其 与 网 络 攻击 和 全 球 经 济 联 系 起 来 。 在 本 章 中 ， 我 们 将 讨论 以 
下 主题 : 




















。 网 络 安全 是 什么 ; 

网 络 安全 的 范围 

网 络 安全 领域 的 相关 术语 ; 

。 黑客 组 织 、 网 络 罪犯 和 网 络 间谍 活动 的 概述 ; 
。 网 络 安全 的 重要 性 及 其 对 全 球 经 济 的 影响 ; 
网 络 攻 击 造 成 的 名 誉 损害 而 种 来 的 财务 影响 ; 
© 数字 经 济 及 相关 威胁 。 





1.1 网 络 安 全 是 什么 


网 络 安全 可 以 概括 为 则 在 维护 计算 机 系统 的 机 密 性 、 完 整 性 和 可 用 
性 所 做 出 的 


努力 ， 它 是 为 保护 网 络 和 系统 免 受 网 络 攻击 的 实践 。 


根据 网 络 安全 的 定义 ， 网 络 安全 是 指 保护 系统 、 网 络 和 程序 免 受 数 
字 化 攻击 的 实践 。 这 些 攻击 通常 由 在 访问 、 更 改 或 破坏 敏感 信息 ， 敲 诈 
勒索 用 户 ， 以 及 中 断 正 常 的 业务 流程 。 





如 今 ， 实 施 有 效 的 网 络 安全 措施 尤其 具有 挑战 性 ， 因 为 设备 的 数量 
比 人 还 要 多 ， 而 攻击 者 也 变 得 更 具 创 新 性 。 网 络 攻击 一 直 呈 上 升 趋 势 ， 
其 目标 是 访问 、 更 改 或 删除 数据 ， 甚 至 出 现 芯 诈 勒 索 和 中 断 正 常服 务 等 
现象 。 由 于 信息 撤 术 已 被 广泛 采用 以 提升 业务 运行 的 效率 ， 因 此 网 络 安 
全 已 成 为 当今 企业 非常 关注 的 问题 。 当 前 的 业务 环境 包括 许多 的 设备 、 
系统 、 网 络 和 用 户 ， 所 有 这 些 痢 成 为 网 络 罪犯 的 目标 ， 并 且 网 络 罪犯 们 
开发 并 使 用 了 很 多 有 针对 性 的 技术 。 网 络 攻击 只 会 变 得 越 来 越 高 效 且 复 
杂 。 因 此 ， 对 许多 企业 而 言 ， 网 络 安全 正在 成 为 一 种 生存 机 制 ， 而 不 再 
古 可 有 可 无 的 选项 。 网 络 安全 具有 多 个 层次 ， 洱 凋 设 备 、 网 络 、 系 统 和 
用 户 。 每 一 层 则 在 确保 与 之 相关 的 目标 不 会 被 攻击 者 破坏 。 在 企业 中 ， 
这 些 层 可 以 被 概括 为 3 类 : 人 员 、 流 程 和 技术 。 











1.1.1 Am 


这 一 类 主要 包 仿 用户。 众所周知， 用 户 是 网 络 安全 链 中 尤其 薄弱 的 


一 环 。 不 笠 的 是 ， 网 络 徘 犯 也 意识 到 了 这 一 点 ， 并 且 在 攻击 时 将 用 户 而 
非 系统 作为 攻击 目标 。 设 置 弱 密 码 、 下 载 恶 意 电子 邮件 中 的 附件 ， 甚 至 
易于 陷入 骗局 ， 这 些 问 题 都 是 由 用 户 引发 的 。 





1.1.2 ”流程 


此 类 别 涵盖 了 企业 使 用 的 所 有 流程 ， 其 中 可 能 包括 业务 流程 (例如 
供应 链 ) ， 攻 击 者 可 以 利用 这 些 流程 将 恶意 软件 植 入 公司 内 部 。 有 时 ， 
供应 链 针 对 的 目标 是 那些 能 够 很 好 地 抵御 其 他 攻击 方法 的 企业 。 


1.1.3 技术 


技术 涉及 企业 使 用 的 设备 和 软件 ， 它 们 一 直 古 网 络 罪犯 的 首要 攻击 
目标 ， 并 且 徘 犯 们 已 经 开 发 了 许多 技术 来 攻击 它们 。 虽 然 安全 公司 试图 
跟 上 当今 搁 术 的 进步 ， 但 网 络 罪 犯 似 乎 总 是 占据 上 风 。 网 络 罪 犯 可 以 从 
暗 网 获取 新 型 恶意 软件 ， 并 将 其 用 于 针对 不 同 技术 的 攻击 。 








12 ”网络 安 全 的 范围 


网 络 安全 的 重要 性 怎么 强调 都 不 为 过 。 世 界 处 于 相互 连接 的 状态 ， 
因此 对 单个 主机 或 用 户 的 攻击 很 容易 演变 成 对 许多 人 的 攻击 。 从 贸 取 个 
人 信息 到 针对 目标 的 融 诈 勒索 ， 皆 属于 网 络 安全 的 范畴 。 对 公司 而 言 ， 
很 多 事情 总 是 处 于 危险 之 中 。 因 此 ， 不 论 是 对 个 人 还 是 对 企业 ， 网 络 安 
全 涵盖 的 范围 部 很 三 ， 接 下 来 让 我 们 更 详细 地 了 解 网 络 安全 。 








1.2.1 关键 基础 设施 安全 


关键 基础 设施 是 指 面 癌 公众 提供 服务 或 支撑 能 源 、 通 信 、 人 金融、 交 
通 、 公 共事 业 等 重要 行业 运行 的 系统 设施 。 为 了 满足 当前 的 需求 ， 这 些 
基础 设施 必然 会 被 数字 化 。 这 无 意 间 使 它们 成 为 网 络 罪犯 的 目标 。 因 
此 ， 必 须 定期 对 这 些 关 键 系统 进行 脆弱 性 评估 ， 以 便 能 够 预 匈 避免 或 减 
轻 可 能 遭受 到 的 攻击 。 针 对 关键 基础 设施 的 网 络 攻击 在 各 地 时 有 发 生 ， 
常见 的 被 攻击 的 目标 部 门 涉及 交通 、 电 信 、 能 源 和 工业 部 门 。 其 中 最 令 
人 印象 深刻 的 是 针对 伊 明 核 设 施 的 攻击 ， 攻 击 中 用 到 了 恶意 软件 一 一 震 
网 病毒 (Stuxnet) ， 该 病毒 对 核 设 施 造成 了 毁灭 性 的 破坏 ， 这 症 显 了 网 
络 攻击 对 关键 基础 设施 所 造成 的 影响 。 











以 下 内 容 摘录 上 自 一 篇 描述 计算 机 恶意 软件 攻击 茶 个 核 设施 的 文章 。 


一 旦 恶意 软件 感染 了 他 们 的 系统 ， 进 而 有 人 将 受到 破坏 的 数据 带 入 
工厂 《那里 没有 直接 的 互联 网 访问 权限 ) ， 那 么 引发 混乱 则 是 迟早 的 事 
情 。 尽 管 你 可 能 会 怀疑 这 一 点 ， 但 也 有 证 据 表 明 首 次 入 侵 并 非 源 目 USB 
驱动 器 。 研 究 人 员 发 现 ， 在 病毒 传播 到 系统 的 儿 个 小 时 之 前 ， 展 网 病毒 
的 创造 者 才 将 其 编译 出 来 ， 除 非 有 人 在 那里 等 着 病毒 编译 完毕 并 立马 通 
过 USB 驱 动 右 将 其 传染 到 工厂 所 依赖 的 条 家 供应 商 ， 舍 则 病毒 在 侵入 工 
三 之 前 必定 已 经 在 互联 网 上 传播 开 了 。 





























1.2.2 ”网 络 安全 


现 如 今 ， 没 有 网 络 就 无 法 开展 业务 。 由 于 当前 全 球 经 济 的 很 大 一 部 
分 都 由 互联 网 提供 支持 ， 因 此 将 自己 和 互联 网 隔离 的 国家 或 地 区 在 经 济 
上 会 较为 落后 。 然 而 ， 和 网 络 互联 也 有 其 自身 的 缺点 ， 即 个 人 和 公司 网 
络 会 很 容易 受到 未 授权 访问 、 恶 意 软件 以 及 拒绝 服务 等 攻击 。 一 些 撤 术 
可 以 被 用 于 在 网 络 上 执行 人 条 些 操作 ， 而 这 些 操 作 在 不 使 用 入 侵 检测 系统 
等 工具 的 情况 下 ， 网 络 管理 员 几 乎 无 法 检测 到 。 其 他 网 络 攻击 还 包括 在 
传输 过 程 中 嗅 探 数据 包 、 盗 入 和 污染 数据 。 用 来 防御 网 络 安全 威胁 的 工 
具 被 淹没 在 需要 它们 进行 过 小 的 大 量 网 络 通 信之 中 。 与 此 同时 ， 这 些 工 
具 也 面临 着 误 报 的 挑战 。 正 因 如 此 ， 安 全 公司 正在 转 同 研究 诸如 机 器 学 
习 之 类 的 新 技术 ， 以 使 它们 能 够 更 有 效 地 检测 恶意 和 异常 流量 。 

















123. 二 


云 计 算是 正在 被 大 量 米 用 的 新 技术 之 一 。 云 使 得 企业 可 以 使 用 到 原 
先 由 于 受到 获取 和 维护 资源 方面 的 财务 限制 而 无 法 使 用 的 资源 。 与 其 他 
备份 选项 相 比 ， 云 的 可 靠 性 和 可 用 性 使 其 成 为 首选 的 备份 选项 。 但 是 ， 
云 在 安全 性 方面 也 面临 着 一 系列 挑战 。 企 业 和 个 人 都 担心 其 云 存储 的 数 
据 被 盗 ， 且 云端 早已 发 生 过 数据 被 盗 事件 。 云 安全 确保 云 用 户 的 数据 受 
到 保护 并 限制 可 以 访问 这 些 数 据 的 人 员 。 





根据 McAfee 安全 研 完 结果 来 看 ， 每 4 个 企业 中 就 有 一 个 成 为 云 数据 
AoW, SIL Mae. 











根据 网 络 安全 公司 McAfee 的 第 三 份 年 度 云 安全 报告 ， 大 量 企业 正 
在 将 其 数据 迁移 上 云 ， 但 并 不 是 每 个 企业 都 确信 云 的 安全 性 
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12.4 应 用 程序 安全 


许多 业务 流程 需要 应 用 程序 或 系统 的 支持 才能 运行 。 然 而 ， 这 些 系 
统 给 企业 带 来 了 薄弱 环节 。 如 果 这 些 系统 被 黑客 入 侵 ， 则 可 能 导致 服务 
或 生产 活动 的 中 断 、 商 业 机 密 被 盗 ， 以 及 财务 损失 。Trustwave 
SpiderLabs 在 2017 年 进行 的 一 项 研究 表明 ， 所 有 的 被 随机 选择 和 测试 的 
Web 应 用 程序 都 至 少 含有 一 个 安全 漏洞 。 因 此 ， 在 许多 制定 了 网 络 安全 
策略 的 企业 中 ， 应 用 程序 安全 正在 受到 关注 。 
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如 前 所 述 ， 用 户 是 最 薄弱 的 环节 ， 而 且 由 于 攻击 者 使 用 社会 工程 学 
技术 来 针对 他 们 ， 因 此 也 特别 难以 被 保护 。 这 些 社会 工程 学 拉 术 难以 被 
安全 工具 阻止 。 攻 击 者 使 用 电话 、 电 子 邮 件 或 面对面 交互 等 正常 互动 来 
接触 用 户 。 企 业 因 员工 被 社会 工程 学 攻击 而 遭受 了 大 量 财务 损失 。 因 
此 ， 用 户 安全 意识 计划 已 被 纳入 大 多 数 网 络 安全 集 略 当中 。 





1.2.6” 物 联网 安全 


新 兴 


物 联 网 (The Internet of Things, IoT) 是 一 种 受到 安全 威胁 困扰 的 
技术 。 尽 管 存在 安全 挑战 ， 但 物 联 网 技术 已 被 许多 企业 所 采用 。 处 


于 不 安全 状态 的 物 联 网 设备 对 企业 和 个 人 持续 构成 了 威胁 。 因 此 ， 网 络 
安全 的 范围 也 被 扩展 并 涵盖 此 威胁 领域 。 
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以 下 是 一 些 与 网 络 安全 相关 的 术语 。 


网 络 犯罪 。 以 计算 机 为 犯罪 对 象 或 辅助 手段 来 实施 犯罪 的 总 称 。 这 
种 罪行 的 作 采 者 被 称 为 网 络 上 罪犯， 他 们 通常 使 用 计算 机 技术 来 非法 
获取 敏感 信息 ， 从 而 进行 欺诈 或 实施 恶意 行为 。 

勒索 软件 。 一 种 恶意 软件 ， 由 在 阻止 受害 者 对 计算 机 和 文件 的 访 
问 ， 直 到 他 们 支付 赎金 为 止 ， 从 而 向 受害 者 勒索 钱财 。 但 是 ， 文 付 
赎金 并 不 能 保证 文件 一 定 会 恢复 。 

恶意 软件 。 和 恶意 软件 分 为 病毒 、 蠕 忠和 特洛伊 木马 等 多 种 类 型 。 这 
些 恶 意 软 件 经 第 被 用 于 实施 越权 访问 或 破坏 计算 机 。 

社会 工程 和 学。 网 络 非 犯 使 用 频率 越 来 越 高 的 一 种 攻击 技术 ， 用 来 诱 
导 人 们 泄露 茶 些 信息 或 采取 茶 些 行动 。 最 终 目 标 是 获取 钱财 或 敏感 
言 轧 〈 如 商业 机 密 ) 。 

网 络 钓鱼 。 一 种 营 见 的 攻击 ， 例 如 辐 用 户 发 送 欺诈 性 电子 邮件 ， 但 
声称 邮件 发 送 上 自信 誉 展 好 的 发 送 方 。 网 络 钓鱼 者 旨 在 从 受害 者 处 获 
取 敏 感 数据 或 钱财 。 随 着 技术 的 进步 ， 网 络 钓鱼 攻击 变 得 越 来 越 复 
杂 ， 所 使 用 的 技术 也 越 来 越 先 进 ， 从 而 更 加 容易 破坏 成 功 。 

伪 己 网络。 一 个 由 受到 恶意 软件 感染 的 设备 组 成 的 网 络 ， 这 些 设 备 























能 够 执行 某 些 任 务 ， 例 如 拒绝 服务 (Denial of Service, DoS) 攻 

击 。 个 人 计算 机 曾经 是 僵尸 网 络 的 主要 目标 ， 但 是 自从 IoT 设 备 出 
现 ， 黑 客 束 将 目光 转移 到 了 这 种 新 技术 上 。Mirai 是 一 个 令 人 忍 慢 
的 僵尸 网 络 ， 它 由 IoT 设 备 组 成 ， 并 已 被 用 于 数 次 攻击 。 

数据 泄露 。 数 据 泄 露 是 指 公 司 网 络 受 到 网 络 犯罪 分 子 的 攻击 ， 导 致 
一 些 有 价值 的 数据 被 资 。 在 多 数 情 况 下 ， 被 资 的 是 客户 号 份 验证 信 
息 、 地 址 信息 以 及 财务 信息 。 被 盗 的 数据 一 般 很 有 价值 ， 可 以 在 黑 
市 上 出 售 或 赎 回 。 即 使 盗 禄 来 的 数据 经 过 了 加 密 ， 黑 客 也 可 以 找到 
方法 解密 数据 ， 尤 其 是 在 加 密 算 法 较 弱 的 情况 下 。 

分 布 式 拒绝 服务 (Distributed Denial of Service, DDoS) 攻击 。 攻 
击 者 将 大 量 请 求 定 同 到 目标 计算 机 ， 从 而 阻塞 其 带宽 ， 使 其 无 法 响 
应 合法 请 求 。 僵 尸 网 络 是 发 起 DDoS 攻击 的 一 种 常见 手段 。DDoS 攻 
击 也 可 以 被 当 作 “ 明 修 栈道 ， 暗 度 陈仓 ”的 技术 使 用 ， 即 黑客 在 使 安 
全 人 员 将 精力 集中 于 恢复 遭受 DDoS 攻击 的 设备 的 同时 ， 进 行 另 一 
种 攻击 。 

间谍 软件 。 一 种 用 于 监视 他 人 的 恶意 软件 ， 目 标 是 获取 个 人 信息 、 
登录 凭据 或 其 他 敏感 信息 。 间 谍 软 件 主要 感染 浏览 器 或 隐藏 在 软件 
中 。 对 于 移动 设备 ， 间 谍 软 件 可 以 使 用 GPS 传 感 器 来 回 传 用 户 设 备 
的 地 理 位 置信 息 ， 并 且 还 可 以 访问 通话 历史 记录 和 短信 内 容 。 




















1.4 网络 安 全 的 重要 性 及 其 对 全 球 经 济 的 影响 








网 络 安全 的 目标 是 确保 数据 和 系统 的 保密 性 、 完 整 性 和 可 用 性 。 本 
节 将 讨论 网 络 安全 的 重要 性 。 


1.4.1 网 络 安全 的 重要 性 





自从 互联 网 诞生 以 来 ， 网 络 安全 一 直至 关 重 要 。 企 业 中 的 许多 业务 
流程 离 不 开 互联 网 技术 的 支持 。 然 而 ， 技 术 在 渗透 到 日 第 工作 和 生活 的 
同时 ， 也 给 入 们 带 来 了 安全 威胁 。 随 着 拉 术 的 进步 ， 网 络 攻击 的 威胁 也 
在 增加 ， 物 联网 等 新 技术 面临 着 网 络 犯罪 的 严峻 挑战 。 与 此 同时 ， 网 络 
安全 技术 也 在 努力 确保 使 用 者 不 受 网 络 犯罪 的 危害 。 基 于 以 下 几 扣 原 
办， 企业 和 个 人 对 网 络 安全 越 来 越 重 视 。 














1.4.1.1 ”网络 攻击 的 数量 正在 增长 


随 痢 科技 的 快速 有 发展， 网 络 攻击 的 数量 呈 指 数 级 增长 。 网 络 安全 报 
告 显 示 ， 每 年 发 现 的 新 威胁 数量 在 不 断 上 升 。 地 下 黑市 的 一 些 专业 拉 术 
人 员 专 注 于 制造 新 型 恶意 软件 ， 然 后 出 售 给 黑客 。 网 络 罪犯 花费 大 量 的 
时 间 对 个 人 和 企业 进行 背景 调 碍 ， 以 找 出 他 们 的 脆弱 点 。 他 们 利用 社会 
工程 手段 完善 入 侵 人 策略 ， 以 攻击 更 多 的 受害 者 。 与 此 同时 ， 用 户 却 并 没 
有 为 他 们 上 自己 和 他 们 工作 的 企业 的 安全 做 出 改进 和 承担 贡 任 。 随 着 网 络 
攻击 技术 的 发 展 ， 确 保 个 人 数据 、 资 金 和 系统 安全 的 唯一 希望 在 于 加 强 
网 络 安全 ， 网 络 安全 的 重要 性 迅速 凸显 。 











14.1.2 ”网 络 攻击 日 蔓 严 重 


和 过 去 相 比 ， 网 络 犯罪 的 形式 发 生 了 改变 。 如 今 ， 网 络 犯罪 的 后 果 
往往 是 毁灭 性 的 ， 从 那些 沦 为 网 络 攻击 受害 者 的 公司 状况 就 可 以 看 出 这 
一 点 。 在 确认 网 络 犯罪 分 子 入 侵 了 雅虎 的 系统 并 窃取 了 几 十 亿 用 户 的 数 
据 后 ， 雅 虎 股价 下 跌 。Ubiquiti Networks 公 司 因 攻 击 者 对 其 员工 实施 社 
会 工程 学 攻击 而 损失 了 4000 多 万 美元 。 许 多 其 他 顶级 公司 的 敏感 数据 也 








曾 被 黑客 鳃 取 ， 个 人 也 不 能 幸免 。WannaCry 勒 索 软 件 对 150 多 个 国家 或 
地 区 的 企业 和 个 人 的 计算 机 进行 了 加 密 。 忆 地 来 说 ， 网 络 犯 罪 越 来 越 严 
章 ,涉及 的 资金 量 也 越 来 越 大 ， 大 量 敏感 数据 被 鳃 取 。 网 络 犯罪 的 目标 
并 不 局 限于 小 型 企业 ， 例 如 优 步 和 雅虎 等 大 公司 也 已 成 为 受害 者 。 因 

此 ， 网 络 安全 对 企业 和 个 人 都 至 关 重 要 。 








1.4.2 网络 安 全 对 全 球 经 济 的 影 啊 


网 络 攻 击 对 全 球 经 济 的 影响 逐渐 凸显 ， 全 球 企业 每 年 因此 而 遭受 的 
损失 多 达 数 十 亿美 元 。《 福 布 斯 》 杂 志 提 到 ， 在 2019 年 ， 网 络 犯 罪 已 经 
给 全 球 造成 约 100 亿 至 200 亿 美元 的 损失 。 在 2015 年 ， 这 一 数字 只 有 4 亿 
美元 。 在 2015 年 的 估算 之 前 ，2013 年 的 早期 估算 报告 称 ， 全 球 网 络 犯 罪 
种 来 的 损失 仅 为 1 亿美 元 。 可 以 看 出 ， 网 络 犯 罪 造成 的 损失 一 直 在 增 
长 。 世 界 经 济 论坛 已 经 注意 到 这 一 点 ， 并 对 此 表示 关注 。 该 组 织 警告 
称 ， 由 于 大 部 分 网 络 犯罪 未 被 发 现 ， 这 一 数字 实际 上 可 能 会 更 高 。 它 将 
工业 间谍 活动 定义 为 一 种 犯罪 ， 在 这 种 情况 下 ， 许 多 受害 者 甚至 不 知道 
自己 已 经 沦 为 受害 者 。 











根据 史 蒂 夫 :摩根 (Steve Morgan) 对 网 络 犯罪 成 本 的 估算 ， 从 2013 
年 到 2015 年 ， 网 络 犯 罪 带 来 的 损失 增长 了 3 倍 ， 而 且 从 2015 年 到 2019 
年 ， 可 能 还 会 再 翻 两 番 。Juniper 公 司 认 为 ， 截 至 2019 年 ， 消 费 者 生活 和 
工作 的 快速 数字 化 将 使 数据 泄露 带 来 的 损失 在 全 球 范围 内 增加 至 


21x1011 美 元 。 


1.4.2.1 ”网络 犯 罪 成 本 


网 络 犯 罪 带 来 的 经 济 损失 是 网 络 安全 投入 所 无 法 比拟 的 。 网 络 安全 
的 投入 变化 不 大 ， 但 网 络 犯 罪 带 来 的 经 济 损失 却 每 年 都 在 增加 。 据 估 
计 ，2017 年 的 网 络 攻击 数量 较 2016 年 增加 了 27.4%。 


埃 森 哲 (Accenture〉 对 企业 在 2017 年 的 平均 网 络 犯 罪 成 本 估算 如 图 
1-1 所 示 。 
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图 1-1 





这 些 数字 不 仅仅 是 对 当前 情况 的 统计 ， 同 时 也 预测 了 2018 年 成 为 
网 络 犯罪 受害 者 的 企业 数量 较 2017 年 还 会 有 所 增长 。 目 前 ， 企 业 遭 到 网 
络 入 侵 或 恶意 软件 攻击 的 平均 损失 为 240 万 美元 。 然 而 ， 这 个 数字 只 是 





-个 平均 值 ， 部 分 企业 遭受 的 损失 远 不 止 于 此 。 以 2015 年 索尼 遭受 的 攻 
击 为 例 ， 该 企业 因 攻 击 而 损失 了 1500 万 美元 ; 在 Ubiquiti Networks 公 司 
的 案例 中 ， 已 经 造成 超过 4000 万 美元 的 损失 。 因 此 ， 网 络 犯 罪 的 平均 损 
失 不 应 被 用 来 描述 现实 ， 因 为 一 些 公司 的 损失 是 平均 水 平 的 好 几 倍 。 





解雇 网 络 攻击 问题 所 需 的 时 间 比 以 往 任何 时 候 都 要 长 。 目 前 ， 从 勒 
索 软 件 攻 击 中 恢复 平均 需要 23 天 ; 遭受 内 部 威胁 攻击 需要 50 天 才能 恢 
F: 遭受 DDoS 攻击 只 需要 几 天 就 能 恢复 ， 但 到 那 时 已 经 造成 了 极 大 的 
损害 。 一 般 来 说 ， 攻 击 持续 时 间 增 加 的 同时 ， 对 受害 者 造成 的 影响 也 在 
增加 。 雄 露 在 攻击 者 面前 的 时 间 越 长 ， 经 济 损失 就 会 越 严 重 。 























在 全 球 范围 内 ， 美 国 是 网 络 犯 罪 成 本 最 高 的 国家 。 自 2017 年 以 来 ， 
该 国 的 平均 水 平一 直 高 于 全 球 平均 水 平 ， 当 时 估计 为 2100 万 美元 。 这 一 
估计 值 比 2016 年 的 1700 万 美元 有 所 增长 。 网 络 犯罪 成 本 第 二 高 的 国家 是 
德国 ， 从 2016 年 的 780 万 美元 增长 至 2017 年 的 1150 万 美元 。 日 本 位 居 第 
三 ， 预 估 网 络 犯罪 带 来 的 成 本 为 1000 万 美元 。 英 国 、 法 国 和 意大利 紧 随 
其 后 ， 分 别 为 800 万 美元 、790 万 美元 和 630 万 美元 。 





图 1-2 所 示 是 埃 森 哲 对 网 络 犯罪 成 本 的 估算 。 


























_ 7 个 国家 的 网 络 犯罪 总 成 本 
德国 =a 7.84 * 表 示 该 国 的 数据 为 新 增 样本 ， 
11.15 没有 历史 数据 

8.39 

日 本 RE 10.45 

说 明 
(ped 单位 : 百 万 美元 

= 国 874 

法门 es 
r 6.73 P A 
意大利 EEE 6.73 WM 2016 年 〈 百 万 美元 ) 
E 2017 年 ( 百 万 美元 ) 

wir 国力。 

0 5 10 15 20 25 
图 1-2 


网 络 犯 徘 还 会 造成 其 他 无 法 直接 估算 的 经 济 损失 。 和 客户 忠 减 度 的 天 
失 可 能 会 带 来 经 济 上 的 损失 ， 客 户 的 减少 会 直接 导致 收入 的 减少 。 失 去 
声誉 是 导致 经 济 损 失 的 为 一 个 因素 ， 客 户 不 会 选择 与 一 家 没有 安全 保障 
的 公司 做 生意 。 用 户 数据 丢失 后 相关 案件 的 法 律 费 用 也 是 公司 必须 面 对 
的 处 理 黑 客 攻 击 的 财务 支出 之 一 。 因 此 ， 各 类 支出 使 网 络 犯罪 对 企业 来 
说 代价 极 高 。 








1.4.2.2 ”网 络 安全 与 经 济 





网 络 安全 和 经 济 之 间 有 着 密 切 的 关系 ， 这 表现 在 两 个 方面 : 第 一 
资金 可 以 用 于 采购 预防 网 络 犯罪 的 网 络 安全 产品 ;第 二 ， 网 络 攻击 造成 
了 直接 的 经 济 损 失 ， 一 些 攻击 甚至 专门 以 企业 的 财务 部 门 为 目标 。 除 此 
之 外 ， 首 席 财 务 官 (Chief Financial Officer, CFO) 还 必须 与 企业 中 的 
首席 信息 安全 官 (Chief Information Security Officer, CISO) 密切 合 





作 ， 以 确保 他 们 为 网 络 安全 工作 提供 足够 的 资金 文 持 。 如 今 ， 经 济 与 IT 
之 间 的 联系 比 以 往 任 何 时 候 都 更 加 紧密 。 


业务 、 流 程 和 IT 基础 设施 之 间 的 依赖 关系 


如 今 ， 大 部 分 业务 的 运作 都 是 基于 计算 机 系统 的 ， 计 算 机 系统 协调 
来 目 不 同业 务 线 的 流程 ， 同 时 使 各 个 流程 更 加 高 效 。 例 如 ， 在 一 家 生产 
公司 中 ， 供 应 部 门 必须 与 生产 部 门 相 联 系 ， 然 后 生产 部 门 必 须 与 销售 衣 
门 相 联 系 。 这 种 类 型 的 链条 将 确保 供应 部 门 在 生产 部 门 物料 消耗 完 之 前 
及 时 补给 ， 生 产 部 门将 根据 销售 情况 控制 产量 ， 以 避免 过 度 生 产 。 为 了 
确保 这 3 个 部 门 持续 顺利 地 运作 ， 企 业 可 能 需要 集成 企业 资源 规划 
(Enterprise Resource Planning, ERP) 系统 。 企 业 资 源 规划 系统 将 确保 
当 生 产 部 门 需要 更 多 物料 时 自动 通知 供应 部 门 ， 生 产 部 门 也 将 获知 实际 
和 预测 的 销售 量 ， 以 确保 不 会 过 度 生 产 。ERP 解 决 方案 将 为 各 部 门 之 间 
的 此 类 协调 提供 文 持 。 














该 案例 是 企业 中 实际 发 生 的 情况 的 一 个 缩影 。IT 系 统 将 不 同 的 部 门 
连接 在 一 起 ， 当 这 些 系统 出 现 故 障 时 ， 不 同业 务 线 中 的 业务 流程 也 将 受 
到 影响 。 因 此 ， 企 业 需 要 确保 IT 系统 在 任何 时 候 都 能 按照 预期 运行 。 部 
门 之 间 的 另 一 个 关键 联系 是 内 部 网 络 ， 在 不 同 地 区 设 有 分 文 机 构 的 企业 
通常 希望 确保 可 以 轻松 访问 存储 在 不 同 物理 位 置 的 数据 。 为 此 ， 企 业 将 
建立 广域网 以 让 所 有 分 支 机 构 保 持 连 接 ， 如 果 该 网 络 次 痪 了， 许多 操作 
就 无 法 进行 。 企 业 中 I 卫 基 础 架构 的 其 他 组 件 对 于 日 党 运营 也 同样 重要 ， 
如 果 这 些 组 件 处 于 离线 状态 ， 则 操作 将 无 法 照 闸 进行。 为 了 在 当前 的 丙 


业 环 境 中 生存 ， 必 须 将 IT 作 为 一 种 资源 ， 这 已 成 为 大 多 数 企 业 的 常态 。 
在 某 些 行业 中 ， 企 业 拥 有 的 开 系 统 甚至 会 决定 企业 的 竞争 力 。 


了 解 了 企业 当前 对 开 基 础 设施 的 依赖 性 之 后 ， 就 能 理解 基础 设施 组 
件 发 生 故 障 或 受到 攻击 时 会 产生 的 后 果 。 如 果 没 有 一 些 关 键 组 件 〈 例 如 
ERP 系 统 、 网 络 和 计算 机 ) ， 业 务 运营 就 会 被 迫 停 止 。IT 系 统 瘫 痪 的 主 
要 原因 是 网 络 攻击 ， 当 然 还 有 一 些 其 他 原因 ， 例 如 自然 灾害 、 人 为 错误 
和 正常 故障 。 尽 管 如 此 ， 目 前 主要 关注 的 还 是 针对 IT 基础 设施 的 攻击 。 
攻击 者 不 仅 可 以 造成 运营 的 停止 ， 还 可 以 蕾 意 破 坏 基 础 设施 ， 这 会 对 企 
业 造 成 严重 的 影响 。 因 此 ， 企 业 不 得 不 尽力 保护 IT 基础 设施 ， 以 避免 承 
受 故障 所 带 来 的 严重 后 果 。 

















1.4.2.3 ”经 济 损失 





由 于 网 络 犯罪 的 成 本 上 升 ， 全 球 和 地 方 的 经 济 都 蒙受 了 大 量 损失 。 
根据 McAfee 在 2018 年 年 初 的 估计 ， 在 这 一 年 ， 全 球 经 济 的 国内 生产 总 
值 (Gross Domestic Product, GDP) 将 因为 网 络 犯罪 而 损失 0.8%， 估 计 
为 6000 亿 美元 ， 预 计 这 一 经 济 损失 在 2019 年 会 达到 万 亿美 元 。 在 2014 
年 ， 这 一 估计 值 为 0.7%， 这 表明 网 络 犯 罪 对 经 济 的 影响 只 会 越 来 越 大 。 
美国 报告 的 网 络 犯罪 数量 相对 持续 增长 ， 而 欧洲 的 网 络 犯 罪人 数 上 升 最 
快 。 网 络 罪犯 似乎 并 不 特别 关注 美国 以 外 的 地 区 ， 随 着 时 间 的 推移 ， 
客 活 动 大 量 消 入 并 草 延 到 欧洲 地 区 。 另 外 ， 由 于 美国 一 直 以 来 都 受到 网 
络 犯罪 的 侵害 ， 因 此 企业 一 直 在 为 防范 网 络 攻 击 做 准备 。 欧 洲 现在 正面 
临 厦 网 络 犯 罪 市 来 的 巨大 经 济 损失 ， 据 估计 ， 其 区 域 0.84% 的 国内 生产 
总 值 损 失 在 网 络 犯罪 上 ;而 在 美国 ， 这 一 比例 为 0.78%。 














网 络 犯罪 造成 经 济 损失 上 升 的 原因 有 很 多 。 其 中 一 个 原因 是 更 多 的 
网 络 犯罪 工具 被 发 布 ， 这 些 新 的 网 络 犯罪 工具 更 加 有 效 。 正 如 1.4.1 小 节 
所 述 ， 迄 今 为 止 最 上 共 破 坏 性 的 勒索 软件 攻击 之 所 以 成 功 ， 是 因为 黑客 组 
织 使 用 了 事 发 前 3 个 月 从 美国 国家 安全 局 贸 取 的 漏洞 。 另 一 个 原因 是 攻 
击 者 采用 了 新 的 技术 ， 这 些 技术 使 他 们 能 够 对 加 密 的 文件 进行 解密 ， 并 
绕 过 安全 防护 工具 ， 在 不 引起 警报 的 情况 下 获得 系统 权限 等 。 黑 客 攻击 
手法 的 变化 也 是 造成 经 济 损失 上 升 的 原因 之 一 ， 网 络 钓 鱼 就 是 一 个 很 好 
的 例子 。 网 络 钓鱼 的 攻击 手法 在 不 断 地 发 生变 化 。 多 年 前 ， 网 络 钓鱼 是 
通过 纯 文 本 电子 邮件 完成 的 ， 邮 件 中 往往 叙述 了 一 个 不 季 的 事件 ， 并 请 
求 收 件 人 为 处 于 危险 中 的 人 提供 一 些 帮助 。 早 期 的 钓鱼 邮件 常会 包含 拼 
写 和 语法 的 错误 ， 以 及 含糊 不 清 的 描述 。 然 而 ， 如 今 的 钓鱼 邮件 伪造 成 
类 似 合法 公司 的 HTML 电 子 邮 件 的 内 容 ， 并 包含 指向 假冒 网 站 的 链接 ， 
这 些 假 冒 网 站 的 外 观 和 交互 与 合法 网 站 高 度 相 似 。 受 害 者 并 未 意识 到 他 
们 已 经 把 信息 交 给 了 黑客 ， 甚 至 已 经 将 钱 转 给 了 黑客 。 这 种 攻击 技术 的 
革命 性 发 展 在 其 他 类 型 的 攻击 中 也 有 体现 ， 这 导致 大 量 的 攻击 案例 发 
生 ， 例 如 2017 年 美国 国税 局 (Internal Revenue Service, IRS) 欺诈 的 受 
害 者 人 数 约 为 17 万 人 。 这 在 之 前 并 没有 先例 ， 因 为 当时 这 类 钓鱼 攻击 还 
没有 发 展 出 来 。 














1.4.3 ”银行 和 金融 系统 一 一 在 风险 和 安全 视角 发 
生 的 变化 





银行 和 金融 系统 一 直 是 网 络 犯 罪 的 目标 。 地 下 黑市 有 一 些 恶 意 软 件 
可 以 用 来 攻击 自动 取 球 机 ， 让 它们 吐出 现金 ， 一 些 恶 意 软件 可 以 用 来 拦 











截 用 户 和 银行 服务 器 之 间 的 通信 ， 窃 取 会 话 内 容 或 登录 信息 ; 一 些 恶 意 
软件 可 以 在 用 户 访问 某 些 银行 网 站 时 ， 对 其 进行 监视 ; 还 有 一 些 网 络 钓 
鱼 诈 骗 专门 针对 某 些 网 上 银行 和 支付 系统 的 用 户 。 这 些 仅 仅 是 银行 所 面 
临 的 威胁 中 的 一 小 部 分 ， 它 们 已 经 改变 了 银行 在 风险 和 安全 方面 的 意 
识 。 图 1-3 所 示 是 PayPal 钓 鱼 邮 件 的 截图 。 





PayPal 


Please Update Your Account 


Dear valued PayPal member: 


It has come to out attention that your PayPal account information needs to 
be updated as part of our continuing commitment to protect your account 
and to reduce the instance of fraud on our website. If you could please take 
5-10 minutes out of your online experience and update your personal records 
you will not run into any future problems with the online services. 


However, failure to update your records will result in account suspension. 
Please update your records on or before 10 Dec. 2011. 


Once you have updated your account records, your PayPal session will not 
be interrupted and will continue as normal. 


To update your PayPal records click on the following link: 
WW = “sn u a 





PayPal, Inc. 

P.O. Box 45950 

Omaha, NE 68145 WARNING - This is a phishing email. 
A If you receive an email like this, 

Sincerely, do not click on any links. 

PayPal 


图 1-3 


银行 不 得 不 升级 用 于 控制 其 自动 取款 机 的 操作 系统 ， 以 避免 出 现金 
钱 被 盗 的 恶意 攻击 。 银 行 认识 到 ， 有 一 些 黑 客 熟悉 自动 取款 机 所 使 用 的 
系统 ， 他 们 可 以 轻易 地 间 入 这 些 系统 并 直接 从 机 器 中 禄 取 金 钱 。 银 行 也 
开始 意识 到 ， 在 互联 网 上 以 明文 形式 传输 数据 存在 安全 隐患 ， 因 此 需要 
切换 到 安全 的 HITPS， 以 确保 从 源 到 目标 对 数据 进行 加 密 ， 避 免 用 户 的 
登录 信息 在 传输 过 程 中 被 窃取 。 这 些 风险 银行 过 去 不 必 应 对 ， 但 现在 却 
被 迫 不 得 不 采取 应 对 措施 。 反 病毒 公司 正在 研发 可 以 和 普通 浏览 器 集成 














的 插件 ， 以 检测 和 删除 间谍 软件 ， 或 防止 用 户 在 进入 网 站 期 间 产生 任何 
间谍 活动 。 在 过 去 ， 间 谍 软件 并 不 构成 威胁 ， 但 如 今 安全 公司 却 必 须 对 
此 做 出 回应 。 至 于 网 络 钓鱼 诈骗 ， 银 行 一 直 在 努力 提升 用 户 的 安全 意 
识 ， 以 防止 用 户 陷 入 网 络 诈骗 陷阱 。 现 在 到 处 可 见 与 PayPal 相 关 的 骗 
局 ， 使 用 类 似 于 合法 PayPal 的 网 站 或 电子 邮件 ， 令 许多 用 户 遭 受 了 损 
失 。 多 年 前 ， 这 些 骗局 还 不 存在 ， 但 在 如 今 ， 银 行 必须 引起 重视 并 确保 
用 户 的 安全 。 总 之 ， 银 行 和 金融 系统 发 生 了 许多 变化 ， 以 应 对 过 去 不 存 
在 或 不 那么 严重 的 安全 威胁 和 新 的 风险 。 














1.4.4 ”数据 漆 露 意味 着 经 济 损失 


当 企业 受到 攻击 ， 数 据 被 窃取 和 泄露 时 ， 最 终 的 结果 是 损失 金钱 。 
黑客 利用 禄 取 到 的 数据 要 挟 受 害 者 文 付 赎金 ， 以 此 作为 不 在 地 下 黑市 发 
布 或 出 售 数据 的 条 件 。 这 样 的 案例 曾 多 次 发 生 ， 一 家 迪拜 银行 曾经 遭 到 
黑客 的 威胁 ， 黑 客 威 胁 称 他 们 将 公布 从 银行 网 站 上 和 镭 取 到 的 数据 ， 银 行 
拒绝 文 付 赎金 ， 结 果 黑 客 将 这 些 敏 感 信息 发 布 到 了 Twitter 上 。 黑 客 利用 
数据 汇 露 赚钱 的 力 一 种 方式 是 把 数据 卖 给 第 三 方 。 当 雅虎 遭 到 黑客 入 
侵 ， 几 十 亿 用 户 的 数据 被 资 时 ， 这 些 数据 被 列 入 黑市 出 售 。 上 暗 网 上 的 黑 
市 几乎 总 是 会 有 被 盗 的 数据 出 售 ， 即 使 数据 被 加 密 过 ， 也 有 买 家 愿意 购 
买 。 这 些 买 家 往往 是 广告 商 或 其 他 网 络 罪犯 。 广 告 商 将 使 用 鳃 取 到 的 数 
据 创 建 用 户 的 档案 ， 以 便 对 某 些 产 品 做 定向 推广 ， 男 外 ， 网 络 罪犯 会 试 
图 获取 用 户 的 详细 信息 (例如 登录 和 凭证) ， 并 以 此 来 对 用 户 展 开 进一步 
的 攻击 。 











数据 泄露 也 会 对 企业 造成 经 济 损失 。 如 果 发 生 数据 泄露 ， 且 用 户 数 
据 或 个 人 身份 信息 丢失 ， 则 用 户 可 以 起 诉 受害 企业 。 收 集 用 户 数据 的 企 
业 有 责任 保护 数据 和 防止 数据 被 盗 。 曾 有 用 户 在 数据 泄露 后 将 公司 告 上 
法 姓 的 采 例 ， 法 院 通 常会 站 在 用 户 这 一 边 ， 因 为 当 个 人 数据 被 次 时 ， 用 
户 是 受害 最 严重 的 一 方 。 受 害 企业 也 会 失去 信誉 并 因此 而 遭受 财务 损 
Ko 

















1.5 PAS Ure BY 24 a ARF aR 





网 络 攻 击 损 害 公 司 声誉 的 一 个 很 好 的 例子 是 雅虎 。 雅 虎 被 网 络 攻击 
事件 导致 了 几 十 亿 个 账户 数据 被 盗 ， 该 公司 的 声誉 和 价值 显 车 下降。 想 
要 收购 雅虎 的 威 瑞 森 (Verizon) 公司 将 收购 该 公司 的 出 价 沿 减 了 3.5 亿 
美元 ， 大 量 用 户 从 雅虎 转向 Gmail 等 兖 争 对 手 。 如 今 ， 由 于 该 事件 对 人 
们 的 影响 ， 愿 意 成 为 雅虎 用 户 的 人 越 来 越 少 。 雅 虎 给 诸多 企业 上 了 一 
课 ， 让 这 些 企业 知道 网 络 攻击 会 对 一 个 企业 的 声誉 造成 多 么 严重 的 损 
FH 








因此 ， 黑 客 入 侵 造 成 的 声誉 损失 确实 会 为 企业 带 来 经 济 的 影响 ， 并 
且 比 其 他 类 型 的 攻击 例如 物理 盗 锅 ) 更 为 严重 。 声 誉 损失 的 第 一 影响 
古 顾客 的 流失 。 雅 席 如 今 已 难 再 拥有 该 事件 发 生 之 前 曾 占 有 的 市 场 份 
额 。 用 户 担心 目 己 的 数据 被 黑客 贸 取 ， 而 雅虎 一 再 遭 到 黑客 攻击 ， 让 用 
户 不 得 不 怀疑 其 保护 系统 和 数据 安全 的 能 力 。 该 企业 处 理 黑客 攻击 的 方 
式 是 造成 客户 流失 的 男 一 个 原因 ， 它 并 没有 立即 警告 用 户 大 量 账 户 数 据 
己 被 盗 。 相 反 ， 它 似乎 在 对 用 户 隐 瞒 事实 ， 告 诉 他 们 黑客 只 影响 了 一 小 























部 分 账户 。 当 最 初 的 数据 发 布 时 ， 据 说 只 有 500 个 账户 被 攻击 。 然 而 ， 
事实 证 明 ， 有 有 几 十 亿 个 受 影 响 的 账户 。 用 户 感 觉 到 被 欺骗 了 ， 攻 击 并 没 
有 得 到 应 有 的 处 理 。 





16 ”数字 经 济 及 相关 威胁 





数字 经 济 是 指 通 过 信息 拉 术 进行 广泛 的 经 济 活动 和 商业 交易 。 部 分 
传统 经 济 正 逐 渐 问 数字 经 济 演变 ， 这 使 得 数字 经 济 在 不 断 地 增长 。 传 统 
经 济 和 数字 经 济 之 间 的 界限 是 模糊 的 ， 许 多 企业 已 经 开始 采用 信息 技 
术 ， 使 它们 的 业务 能 够 更 快 、 更 高 效 、 更 有 竞争 力 地 运作 。 个 体 也 可 以 
成 为 数字 经 济 的 一 部 分 ， 参 与 到 以 前 无 法 参与 的 任务 和 交易 中 。 新 技术 
使 更 多 的 个 体 和 企业 加 入 这 种 经 济 体 ， 物 联网 、 大 数据 、 云 计算 、 无 线 
网 络 和 社交 媒体 网 络 的 出 现 ， 持 续 吸引 着 更 多 的 人 参与 到 这 种 经 济 中 。 








然而 ， 在 这 种 经 济 中 也 存在 着 网 络 安全 威胁 。 除 去 物理 入 侵 和 盗 
锁 ， 还 可 以 使 用 与 之 相似 的 技术 来 破坏 这 种 经 济 。 尤 其 需要 注意 的 是 ， 
如 果 安 全 防护 措施 不 足 ， 可 能 导致 其 无 法 正常 运作 。 在 这 种 脆弱 的 经 济 
模式 中 ， 网 络 威胁 已 成 为 其 面临 的 最 大 挑战 。 在 过 去 的 几 年 里 ， 数 字 经 
济 面 临 的 网 络 威胁 不 断 增加 ， 并 且 其 中 的 一 些 攻 击 还 会 给 数字 经 济 带 来 
损失 。 数 字 经 济 面 临 的 威胁 似乎 只 会 越 来 越 严重 。 接 下 来 介绍 数字 经 济 
面临 的 威胁 的 趋势 。 





1.6.1 智能 设备 的 威胁 


随 看 基于 物 联 网 和 云 计 算 的 智能 设备 的 普及 ， 相 应 的 新 型 网 络 威胁 
也 正在 出 现 。 由 于 物 联网 设备 在 经 济 中 属于 新 生 事物 ， 尚 未 对 互联 网 上 
己 存 在 的 威胁 进行 强化 ， 因 此 它们 受到 的 攻击 更 多 。 如 同 许多 其 他 的 设 
备 ， 物 联网 也 被 连接 到 互联 网 中 ,但 由 于 缺少 安全 功能 ， 因 此 它们 成 为 
黑客 攻击 的 首选 目标 。 云 计算 技术 也 被 大 量 企业 广泛 采用 ， 黑 客 也 将 其 
专业 知识 迁移 到 了 这 一 新 领域 。 云 与 本 地 服务 颖 不 同 ， 在 本 地 服务 右 
上 ， 企 业 可 以 密切 监视 其 应 用 程序 和 敏感 信息 的 安全 性 ， 如 果 云 供应 商 
遭受 攻击 ， 则 将 造成 巨大 的 损失 。 





1.6.2 ”勒索 软件 


黑客 已 经 证 明 ， 他 们 用 一 个 勒索 软件 就 可 以 干扰 数字 经 济 的 正常 运 
行 。WannaCry 勒 索 软 件 就 是 一 个 例子 ， 这 是 一 次 全 球 范 围 的 攻击 ， 此 
次 攻击 影响 了 150 多 个 国家 或 地 区 。 专 家 称 ， 辱 不 是 因为 勒索 软件 的 编 
人 码 者 不 够 说 慎 ， 就 无 法 及 时 开发 出 解决 方案 以 避免 造成 全 球 范围 的 恐 
懂 。 在 短 短 24 小 时 内 ， 这 一 勒索 软件 就 造成 了 公司 损失 、 医 院 伤亡 、 个 
人 文件 丢失 等 重大 的 损失 。 在 那 次 攻击 之 后 ， 勒 索 软 件 依然 是 数字 经 谤 
所 面临 的 严重 威胁 。 据 估计 ， 勒 索 软 件 的 威胁 一 直 在 增长 ， 这 值得 引起 
全 球 的 关注 。 





图 1-4 所 示 是 计算 机 被 WannaCry 加 密 后 的 画面 。 


x 
Ooops, your files have been encrypted! 
What Happened to My Computer? s 
Your important files are encrypted. 
Many of your documents, photos, videos, databases and other files are no longer 
acci ve been encrypted. Maybe you are busy looking for a way to 
co b not waste your time. Nobody can recover your files withou 
our ice. 


Can I Recover My Files? 
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a in this window. 
After your payment, click <Check Payment>. Best time to check: 9:00am - 11:00am 
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图 1-4 


1.6.3 ”针对 关键 基础 设施 的 攻击 





对 数字 经 济 来 说 ， 关 键 的 基础 设施 大 被 攻击 ， 就 会 造成 严重 的 后 
果 。 各 国 越 来 越 多 地 向 公众 提供 数字 化 的 关键 基础 设施 ， 这 些 基 础 设施 
可 能 会 受到 攻击 并 导致 服务 的 中 断 。 例 如 ，2017 年 的 WannaCry 勒 索 软 
件 攻 击 使 英国 国家 医疗 服务 体系 (National Health Service, NHS) jit 
痪 ， 医 院 系统 受到 影响 ， 医 疗 预约 和 手术 不 得 不 被 推迟 ， 直 到 攻击 得 到 
解决 才 得 以 恢复 。 


17 ahei 
本 章 介绍 了 网 络 安全 和 经 济 ， 解 释 了 网 络 安全 的 范围 、 网 络 安全 使 


用 的 术语 以 及 网 络 攻击 中 的 相关 参与 者 。 本 章 还 探讨 了 网 络 安全 的 目 
标 ， 概 述 了 网 络 安全 的 重要 性 及 其 对 全 球 经 济 的 影响 ， 其 中 强调 了 网 络 


威胁 带 来 的 经 济 影 响 ， 描 述 了 网 络 攻击 造成 的 破坏 。 最 后 ， 本 章 重 点 讨 
论 了 数字 经 济 及 其 面临 的 威胁 ， 这 些 威胁 包括 智能 设备 威胁 、 勒 索 软件 
攻击 和 针对 关键 基础 设施 的 攻击 ， 所 有 的 这 些 威胁 都 可 能 被 大 规模 实 
施 ， 从 而 干扰 数字 经 济 的 正常 运行 。 





在 第 2 章 中 ， 你 将 了 解 不 同 的 威胁 参与 者 群体 及 其 动机 。 


Qe ”网 络 的 攻击 者 


本 章 将 对 网 络 犯 罪行 为 和 网 络 罪 犯 进 行 深入 的 分 析 ， 从 不 同 的 角度 
分 析 黑 帆 黑 客 这 个 隐形 世界 中 个 人 和 群体 的 动机 和 演变 。 网 络 罪 犯 一 直 
在 不 断 改 进 其 技术 和 进行 恶意 活动 。 本 章 将 借助 真实 案例 详细 介绍 黑客 





行为 主义 者 、 网 络 恐 怖 分 子 和 网 络 罪犯 。 


2.1 ”网络 犯罪 介绍 
根据 波 耐 蒙 研 究 所 (Ponemon Institute LLC) 对 2017 年 网 络 犯罪 成 

本 进行 的 一 项 独立 研究 ， 企 业 的 网 络 犯 罪 成 本 每 年 持续 增加 27%， 网 络 

犯罪 带 来 的 经 济 影 响 已 经 成 为 金融 服务 行业 的 主要 成 本 。 这 意味 着 ， 该 








行业 内 的 企业 在 网 络 安全 领域 需要 做 出 改进 。 
图 2-1 显 示 了 每 个 行业 的 网 络 犯 罪 平均 年 化 成 本 。 


对 网 络 罪犯 、 黑 客 行为 主义 者 来 说 ， 人 金融 服 务 行业 内 的 公司 存储 的 
数据 非常 有 吸引 力 ， 例 如 资金 交易 记录 、 个 人 和 公司 的 财富 净值 详情 





无 论 哪个 行业 ， 都 没有 公司 可 以 在 网 络 攻击 面前 蔷 免 ， 尤 其 是 金融 
服务 行业 。 图 2-2 显示 了 IBM 安全 服务 在 2016 年 对 路 所 有 行业 和 金融 
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服务 行业 的 监测 情况 。 


金融 服务 
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公共 部 门 

运输 

消费 产品 

通信 

生命 科学 

教育 
招待 性 行业 
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22 ”攻击 者 


网 络 攻击 背后 的 攻击 者 可 以 分 为 以 下 几 类 : 
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跨 所 有 行业 


图 2-2 
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FIGURE 7 

按 行业 计算 的 平均 年 化 成 本 
单位 : 百 万 美元 

说 明 

图 表 合并 了 254 家 公司 的 结果 


E 年 化 总 成 本 (省略 了 不 足 
一 百 万 美元 的 金额 ) 






金融 服务 行业 





“真正 令 我 担心 的 是 攻击 者 能 力 的 成 熟 ， 已 经 足以 威胁 到 我 们 关键 
基础 设施 的 重要 部 分 ， 尤 其 是 金融 服务 业 和 银行 业 。” 





一 一 欧洲 刑警 组 织 负 责 人 罗伯特 - 温 赖 特 (Robert Wainwright) 


2.2.1 黑客 行为 主义 者 


根据 美国 工业 控制 系统 网 络 应 急 啊 应 小 组 (The Industrial Control 
Sytems Cyber Emergency Response Team, ICS-CERT) 的 定义 ， 黑 客 行 
为 主义 者 是 指 以 宣传 而 非 破 坏 关 键 基础 设施 为 目的 的 威胁 行动 者 。 他 们 
的 主要 目标 是 支持 自己 的 政治 观点 ， 次 要 目标 是 造成 损害 ， 并 借 此 宣传 
HOCE., “EZE” (Anonymous) 主要 以 其 分 布 式 拒绝 服务 攻击 而 
闻名 。 图 2-3 所 示 是 “匿名 者 ?种 用 的 “无 头 西 装 ? 标 志 。 

















图 2-3 





黑客 行为 主义 者 根据 组 织 的 使 命 声 明 或 道德 规范 来 锁定 公司 和 政府 
作为 目标 。 由 于 金融 服务 业 对 经 济 财 富有 独到 关 重要 的 作用 ， 因 此 它们 
通 第 是 黑客 行为 主义 者 的 热门 目标 。 














黑客 行为 主义 者 的 意识 形态 各 不 相同 ， 但 他 们 的 核心 思想 是 关注 社 
会 问题 ， 例 如 战争 或 他 们 认为 非法 的 活动 。 为 了 传播 他 们 的 信仰， 他 们 
选择 那些 能 尽快 传播 信息 的 目标 。 黑 客 行为 主义 者 选择 金融 服务 行业 内 
的 企业 的 主要 原因 是 这 些 企业 通常 拥有 庞大 的 用 户 群 ， 一 旦 他 们 成 功 破 
坏 了 企业 的 安全 防护 措施 ， 就 可 以 迅速 传播 自己 的 理念 。 





案例 一 一 达科他 输油管 道 


达科他 输油管 道 (Dakota Access oil Pipeline, DAPL) 是 2016 年 修 
建 的 一 条 1886 干 米 长 的 管道 ， 横 跨 美国 3 个 州 。 美 国 原 住民 部 落 之 所 以 
抗议 该 管道 的 修建 ， 是 因为 担心 它 会 损坏 圣地 和 饮用 水 。 抗 议 活动 开始 
后 不 久 ， 黑 客 行为 主义 者 团体 “匿名 者 ”以 ‘OpNoDAPL” 的 名 义 公 开 宣 布 
了 他 们 对 反对 者 的 支持 。 在 修建 过 程 中 , “匿名 者 ?对 参与 DAPL 建 设 的 
企业 发 起 了 多 次 DDoS 攻击 。*“ 匿 名 者 ”泄露 了 负责 DAPL 建 设 的 员工 的 个 
人 信息 ， 并 威胁 说 , “如 果 他 们 不 辞职 ， 这 种 情况 将 持续 下 去 ”。 图 2-4 
所 示 为 此 次 攻击 在 Twitter 上 的 传播 截图 。 














尽管 关于 此 次 攻击 是 如 何 发 生 的 线索 不 多 ， 安 全 研究 人 员 还 是 对 此 
进行 了 分 析 。 


维基 解密 的 推 文 宣称 英 陛 元: 冯 赛 卡 公司 的 电子 邮件 被 泄露 ， 他 们 
确认 其 电子 邮件 服务 嚣 草 到 了 攻击 。 考 虑 到 数据 泄露 的 规模 ， 邮 件 服务 
器 有 可 能 是 受到 了 直接 攻击 。 
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图 2-4 
2.2.2 [2 Reap 
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进行 交流。 其 中 一 个 例子 是 2008 年 发 生 的 一 次 袭击 事件 ， 其 中 一 名 枪手 
证 实 ， 他 们 使 用 茶 软 件 熟悉 建筑 物 的 位 置 并 发 起 攻击 。 网 络 臣 怖 主义 是 
传统 恐怖 主义 在 网 络 空间 的 延伸 。 

HEF AT BY 


案例 





2012 年 ， 某 黑客 组 织 的 一 名 成 员 袭 击 了 一 系列 美国 金融 机 构 。2012 
年 9 月 18 日 ， 该 黑客 组 织 承 认 他 们 是 这 次 网 络 攻 击 的 幕后 黑手 。 纽 约 证 
券 交 易 所 以 及 摩根 大 通 等 银行 都 是 这 次 DDoS 攻 击 目 标的 一 部 分 





2.2.3 ”网 络 罪犯 


网 络 罪犯 是 指 在 数字 世界 中 利用 技术 实施 犯罪 的 个 人 或 黑客 团体 。 
网 络 犯 罪 的 主要 驱动 力 是 经 济 利 荔 或 服务 中 断 。 网 络 罪犯 主要 通过 以 下 
3 种 方式 使 用 计算 机 。 


。 选择 计算 机 作为 目标 : 网 络 犯罪 攻击 他 人 的 计算 机 以 进行 恶意 活 
动 ， 例 如 传播 病毒 、 禄 取 数 据 、 盗 用 身份 等 。 

。 利用 计算 机 作为 武器 : 网 络 犯罪 使 用 计算 机 进行 “第 规 犯罪 ”， 例 如 
发 送 二 圾 邮件 、 坎 诈 、 非 法 赌博 等 。 

。 使 用 计算 机 作为 附件 ， 网络 犯 罪 使 用 计算 机 保存 被 盗 或 非法 数据 。 





图 2-5 展 示 了 网 络 非 犯 是 如 何 渗透 到 金融 领域 并 造成 严重 破坏 的 。 


网 络 罪犯 使 用 了 许多 方法 攻击 贷款 人 和 银行 账户 





2015 年 11 月 2016 年 1 月 2016 年 11 月 
一 名 青少年 窃取 在 一 次 网 络 攻击 导 网 络 罪 犯 通过 破解 2017 年 4 月 2017 年 6 月 
了 15.7 万 名 客户 致 网 站 瘫痪 后 ， 数 。 银行 卡 安全 系统 ， 入 侵 者 鲫 取 了 PERRI 
的 个 人 数据 和 百 万 英国 用 户 的 账 ” 从 9000 名 客户 身上 27 万 客户 的 攻击 危及 80 名 
银行 账户 号 码 户 被 锁定 数 小 时 窃取 了 250 方 英镑 个 人 数据 乌克兰 的 贷款 人 
TalkTalk HSBC Tesco Wonga Ukraine Banks 


图 2-5 


Digital Shadows Ltd 负责 服务 交付 和 情报 的 副 总 裁 贝 基 : 平 卡 德 


(Becky Pinkard) 表示 : “攻击 者 可 以 通过 在 每 笔 余额 中 添加 或 减 去 一 
个 零 ， 其 至 删除 整个 账户 来 损害 银行 的 利益 








2.2.3.1 案例 一 一 FIN7 


2018 年 8 月 1 日 ,美国 华盛顿 特区 西区 地 方 检察 官办 公 室 宣布 逮 
捕 了 自 2015 年 以 来 一 直 追 踪 的 网 络 犯罪 组 织 FIN7 的 几 名 成 员 。 迄 今 为 
止 ， 安 全 研究 人 员 认 为 FHIN7 是 金融 服务 行业 中 最 大 的 黑客 组 织 之 一 。 据 
悉 ，FIN7 使 用 Combi Security 5] /E Al. 


2.2.3.2 ”案例 Carbanak APT 攻 击 





Carbanak 是 由 网 络 犯罪 组 织 Cobalt 发 起 的 一 次 高 级 持续 威胁 
(Advanced Persistent Threat, APT) 攻击 ， 在 这 次 行动 中 ， 受 害 者 遭受 
了 超过 10 亿 美元 的 经 济 损失 。 图 2-6 描 述 了 Carbanak 网 络 犯 罪 组 织 如 何 从 
一 家 银行 急 取 10 亿 美元 。 











2.2.3.3 ”案例 一 一 OurMine 


2016 年 ， 涉 嫌 在 沙特 阿拉 伯 活 动 的 网 络 犯 罪 组 织 OurMine 对 汇丰 银 
行 托 管 在 美国 和 英国 的 网 站 发 起 了 DDoS 攻击 。 图 2-7 所 示 是 攻击 者 的 声 
明 。 








DDoS 攻击 造成 了 美国 和 英国 的 汇丰 银行 网 站 拒绝 服务 ， 图 2-8 显 
7X J DDoS 攻击 后 的 汇丰 银行 美国 网 站 。 








邮件 中 附带 
被 感染 的 文件 


1. 感染 


在 搜寻 管理 员 计算 机 的 
带 有 湛 洞 利用 程序 的 邮件 。 过 程 中 感染 了 100 合 计算 机 
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2. 情报 收集 

















3. 模仿 员工 
网 上 银行 
钱 被 转移 到 攻击 者 的 账户 


电子 支付 系统 
钱 被 转移 到 中 国 和 美国 的 银行 








虚 增 账户 余额 
通过 舱 诈 交 易 获得 额外 资金 


控制 自动 取款 机 
在 预定 时 间 执行 分 配 
现金 的 指令 














图 2-6 


HSBC Bank ( US & UK ) Servers Are Down! 


& Bjuyi2,2016 © News 


Hello Guys, today we checked HSBC Bank security , and their website was able to be attacked! , and now we took it down! 


if you are working on HSBC Bank , please contact us on https:// 
and we will stop the attack and we will let you know how to protect it from people attacks 
HSBC UK: Kuman ama 


HSBC US: smin 


图 2-7 


It's not just you! http://www i sens looks down from here. 


Check another site? 


25. 四 车 


金融 服务 业 是 网 络 犯 徘 活动 中 受害 最 严重 的 行业 之 一 。 本 章 介绍 了 
不 同 的 威胁 行动 者 及 其 动机 ， 了 解 这 些 知识 对 于 构建 和 执行 网 络 安全 策 
略 十 分 重要 。 


在 第 3 章 中 ， 我 们 将 讨论 与 网 络 攻 击 和 网 络 安全 相关 的 成 本 。 


| 


网 络 安全 专家 的 报告 显示 ， 网 络 安全 成 本 一 直 在 增加 。 这 些 成 本 以 
两 种 方式 增加 : 购买 网 络 安全 工具 以 保护 企业 网 络 安全 的 费用 文 出 ; 企 
业 焉 受 网 络 攻击 而 导致 的 损失 ， 例 如 合 规 刘 球 和 声誉 受 损 。 两 种 方式 部 
对 企业 财务 有 所 影响 ， 相 似 的 网 络 安全 产品 的 成 本 几乎 相同 ， 而 一 次 网 
络 攻击 的 平均 成 本 在 直接 财务 损失 、 诉 讼 成 本 和 客户 损失 方面 将 产生 相 
同 的 后 末 。 本 半 将 研究 这 两 种 成 本 ， 并 解释 为 什么 成 本 一 直 在 增加 ， 以 
及 企业 可 以 采取 什么 措施 以 使 成 本 得 到 合理 控制 或 完全 避免 。 本 章 将 讨 
论 以 下 主题 : 








。 网 络 攻击 种 来 的 成 本 ; 
。 网 络 攻击 所 造成 的 损失 ; 
。 保护 企业 安全 的 费用 支出 。 


3.1 网 络 攻 击 市 来 的 成 本 


随 着 时 间 的 推移 ， 网 络 攻 击 给 企业 种 来 的 平均 成 本 一 直 在 增加 。 网 
络 攻击 对 黑客 的 回报 也 在 增加 ， 这 激励 着 他 们 不 断 开 发 更 好 的 工具 和 技 
术 ， 以 使 他 们 能 够 贸 取 更 多 的 金钱 和 数据 。 儿 家 网 络 安全 公司 列 出 了 他 
们 对 2017 年 和 2018 年 网 络 攻击 给 企业 市 来 的 平均 成 本 的 估计 。 以 下 是 其 
Hi Ea a 


IBM 是 硬件 和 软件 产品 领域 的 技术 巨头 ， 据 称 ， 对 IBM 公 司 而 言 ， 
网 络 安全 


漏洞 导致 的 平均 成 本 一 直 在 增加 ，2018 年 为 386 万 美元 。 这 比 他 们 
对 2017 年 的 估计 增加 了 6.4%。 该 公司 还 估计 ，2018 年 每 条 包含 敏感 信息 
的 被 盗 记 录 的 成 本 为 148 美 元 ， 比 2017 年 的 估计 增加 了 4.8%。 以 下 是 
IBM 关 于 2018 年 网 络 安 全 事件 成 本 的 报告 。 








2018 年 的 研究 报告 称 ， 全 球 数据 泄露 的 平均 成 本 比 上 一 年 增长 了 
6.4%， 达 到 了 38600 亿 美元 。 每 条 包含 敏感 和 机 密 信息 的 泄露 或 被 盗 记 
录 的 平均 成 本 也 比 去 年 同期 增长 了 4.8%， 达到 了 148 美 元 。 














对 于 本 书 中 给 出 的 估算 数字 ， 需 要 注意 以 下 几 点 。 





所 有 这 些 估算 数字 都 是 由 各 个 公司 采用 各 自 的 方法 计算 得 出 的 ， 因 
此 它们 可 能 无 法 相互 比较 。 

其 中 一 些 可 能 倾 癌 于 描绘 出 一 幅 冷 酷 的 画面 一 一 故意 制造 荡 惰 、 不 
确定 性 以 及 怀疑 (Fear, Uncertainty, Doubt, FUD) 的 策略 。 

这 些 数字 并 非 来 自 政府 或 非 营利 组 织 。 

并 非 所 有 的 安全 事件 都 有 公开 报告 ， 并 且 并 非 所 有 报告 了 的 安全 事 
件 都 披露 了 详细 信息 。 因 此 ， 所 有 这 些 报告 都 做 了 大 量 的 假设 。 











根据 为 医院 提供 传真 安全 服务 的 公司 Sfax 的 调查 ，2017 年 全 球 网 络 
安全 事件 的 平均 成 本 为 362 万 美元 。 但 是 ， 美 国 的 情况 有 上 所 不 同 ， 那 里 


的 网 络 攻击 事件 更 多 ， 该 公司 估计 每 次 攻击 事件 的 平均 成 本 为 735 万 美 
元 。 该 公司 将 每 条 被 盗 记录 的 全 球 平 均 成 本 定 为 141 美 元 ， 而 对 于 美国 
公司 则 定 为 225 美 元 。Sfax 关 于 2017 年 网 络 事件 成 本 的 报告 如 下 。 





年 度 研究 表明 ， 全 球 数 据 泄露 的 平均 成 本 目前 为 362 万 美元 。 





根据 埃 森 哲 的 数据 ， 全 球 网 络 安全 攻击 事件 的 平均 成 本 要 局 得 多 ， 
因为 2017 年 的 平均 成 本 为 1170 万 美元 。 该 公司 将 美国 的 平均 成 本 定 为 
2200 万 美元 ， 几 乎 是 澳大利亚 平均 成 本 540 万 美元 的 4 倍 。 埃 森 哲 有 选择 
性 地 挑选 国家 或 地 区 参与 计算 平均 值 ， 它 从 7 个 国家 或 地 区 选择 了 254 个 
企业 ， 因 此 与 其 他 企业 相 比 ， 他 们 得 出 的 平均 值 要 高 很 多 。 以 下 是 埃 森 
哲 对 2017 年 网 络 犯 罪 成 本 的 估计 。 














网 络 犯 罪 导 致 的 成 本 正在 加 速 增长 。 企 业 在 2017 年 的 支出 比 2016 年 
增加 了 近 239% “平均 为 1170 万 美元 ) ， 他 们 的 投资 规模 空前 。 


不 同 网 络 攻击 所 导致 的 成 本 


里 然 可 以 很 简单 地 说 黑客 攻击 所 导致 的 平均 成 本 是 300 万 美元 ， 但 


并 非 所 有 类 型 的 攻击 所 导致 的 成 本 都 相似 。 一 些 攻击 所 导致 的 成 本 比 其 
他 攻击 所 带 来 的 成 本 更 高 ， 成 本 也 随 攻击 企业 的 频率 的 不 同 而 有 所 差 
异 。 因 此 ， 最 好 对 比 一 下 常见 网 络 攻 击 之 间 的 成 本 差 寞 。 图 3-1 所 示 是 
埃 森 哲 对 发 生 在 2016 年 及 2017 年 的 最 利 见 攻击 所 导致 的 成 本 进行 的 图 形 
化 表示 ， 并 且 将 攻击 频率 考虑 在 内 。 该 数据 收集 目 全 球 254 家 公司 。 








i Eee 167390 
内 部 成 胁 者 j; 将 攻击 频率 考虑 在 


| 133453 内 的 年 均 网 络 犯罪 
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图 3-1 


在 解读 这 份 数据 的 时 候 需 要 注意 ， 该 图 已 经 将 攻击 频率 考虑 在 内 。 
因此 ， 最 频繁 的 攻击 具有 较 高 的 平均 成 本 值 。 从 图 3-1 中 可 以 看 出 ， 内 
部 威胁 者 是 对 企业 来 说 最 频繁 旦 代价 最 高 的 威胁 。 与 内 部 威胁 者 有 关 的 
攻击 在 2017 年 平均 造成 173516 美 元 的 损失 。 之 所 以 成 本 如 此 高 晶 ， 是 因 
为 内 部 威胁 者 在 进行 攻击 时 拥有 的 信息 量 很 大 。 由 于 攻击 者 已 经 在 受害 
公司 工作 了 一 段 时 间 ， 因 此 他 们 确切 地 知道 要 攻击 什么 目标 ， 并 且 对 该 
目标 所 存在 的 可 被 利用 的 安全 漏洞 非常 熟悉 。 这 类 攻击 并 非 是 在 倍 运 
气 ， 相 反 ， 攻 击 者 有 着 明确 的 目标 和 预定 执行 计划 。 根 据 埃 森 哲 的 图 
































表 ， 紧 跟 内 部 威胁 者 之 后 的 是 拒绝 服务 攻击 ， 拒 绝 服 务 攻击 在 2017 年 导 
致 的 成 本 为 129450 美 元 ， 之 后 是 恶意 代码 ， 和 恶意 代码 攻击 在 2017 年 导致 
的 成 本 为 112419 美 元 。 


但 是 ， 如 果 不 考 虑 频 京 ， 报 告 内 容 将 会 有 所 不 同 ， 如 图 3-2 所 示 。 


图 3-2 代 表 了 现实 世界 中 的 情况 。 可 以 看 出 ， 恶 意 软件 攻击 给 企业 
这 来 的 成 本 最 高 。 遭 受 亚 意 软件 攻击 的 企业 ， 每 次 攻击 所 导致 的 平均 成 
本 是 240 万 美元 。 这 是 因为 地 下 市 场 的 存在 ， 攻 击 者 可 以 在 这 里 快速 购 
买 到 新 型 恶意 软件 ， 以 及 大 量 未 打 补 丁 的 系统 。 恶 意 软 件 也 在 变 得 更 加 
复杂 ， 这 要 归结 于 技术 娴熟 的 黑 帆 黑客 以 极 低 的 价格 在 暗 网 上 出 售 其 开 
发 的 恶意 软件 。 因 此 ， 脚 本 使 用 者 可 以 购买 这 些 高 效 的 恶意 软件 并 用 于 
实施 攻击 。 基 于 Web 的 攻击 以 造成 200 万 美元 左右 的 成 本 排 在 第 二 位 ， 
而 拒绝 服务 攻击 以 造成 156.5 万 美元 左右 的 成 本 排 在 第 三 位 。 由 于 拒绝 
服务 攻击 可 能 导致 企业 蒙受 巨额 损失 ， 因 此 其 排名 很 局 。 























恶意 软件 2364806 











i 不 同 攻击 类 型 的 
基于 Web 的 攻击 2014142 网 络 犯罪 每 年 所 
拒绝 服务 攻击 mm 1565435 导致 的 成 本 
内 部 威胁 者 EGG 1415217 
钓鱼 及 社会 工程 M 1298987 图 例 
ra — 统一 视图 
恶意 代码 EE 1282384 ,254 家 企业 
DRY LA 865985 
勒索 软件 m 532914 (单位 : 美元) 
f° mm 350012 
0 100 万 200 万 300 万 


图 3-2 


每 次 拒绝 服务 攻击 所 导致 的 成 本 约 为 156 万 美元 ， 这 对 任何 企业 而 
言 都 是 灾难 性 的 打击 。 正 是 由 于 其 效率 极 高 ， 因 此 它 特 别 危险 。 当 足够 





强大 的 僵尸 网 络 发 动 攻击 时 ， 目 标 蔷 免 于 攻击 的 概率 很 小 。 过 去 的 攻击 
表明 ， 任 何 企业 都 招 染 不 住 。Dyn 是 美国 领先 的 域名 解析 公司 之 一 ， 并 
且 他 们 拥有 高 度 安 全 的 IT 环境 ， 所 以 应 该 能 够 抵御 所 有 攻击 。 但 是 ， 该 
企业 因 分 布 式 拒绝 服务 攻击 而 次 痪 了 几 小 时 ， 众 多 网 站 因为 依赖 Dyn 的 
域名 解析 服务 而 无 法 访问 。 后 来 发 现 ， 该 企业 受到 僵尸 网 络 攻击 的 流量 
峰值 达到 了 1 Tb/s。 假 如 对 电子 商务 网 站 《例如 亚马逊 ) 实施 相同 的 攻 
击 并 持续 几 小 时 ， 那 么 该 企业 面临 的 损失 将 是 天 文 数 字 。 





类 似 地 ， 如 果 企 业 所 提供 的 服务 需要 在 极 短 的 时 间 内 完成 ， 假 如 受 
到 DDoS 攻击 ， 则 可 能 遭受 数 百 万 美元 的 损失 。 不 幸 的 是 ， 租 用 僵尸 网 
络 业务 在 地 下 市 场 变 得 越 来 越 流 行 。 诸 如 Mirai 之 类 的 僵尸 网 络 由 成 千 
上 万 的 僵尸 设备 组 成 。Mirai 僵 尸 网 络 是 大 量 不 安全 的 物 联 网 设备 的 产 
物 。 到 2017 年 年 底 ， 市 面 上 的 物 联网 设备 总 数 估 计 为 84 亿 个 。Mirai 僵 
尸 网 络 将 大 量 物 联 网 设备 纳入 其 中 。 为 了 做 到 这 一 点 ， 它 只 是 尝试 了 来 
自 不 同 物 联网 制造 商 的 61 种 默认 用 户 名 和 密码 组 合 。 自 2016 年 以 来 ， 
Mirai 已 经 成 功 攻击 了 许多 著名 的 公司 ， 特 别 著 名 的 事件 便 是 2016 年 10 
月 的 Dyn DNS 攻击 事件 。Mirai 僵 尸 网 络 发 动 了 峰值 流量 高 达 1 Tb/s 的 分 
布 式 拒绝 服务 攻击 ， 从 而 使 Dyn 公 司 数 小 时 无 法 解析 任何 域名 。 在 此 次 
攻击 之 前 ，Mirai 僵 尸 网 络 曾 被 用 于 攻击 法 国 托管 公司 OVH。 该 僵尸 网 
络 能 够 对 OVH 发 起 两 次 单独 的 DDoS 攻击 ， 这 些 攻 击 加 在 一 起 时 会 产生 
1.5 Tb/s 的 非法 流量 。OVH 公 司 后 来 透露 ， 大 部 分 流量 来 自 大 约 14.6 万 台 
网 络 摄像 机 和 录像 机 。 市 场 分 析 人 士 说 ， 到 2020 年 ， 世 界 上 将 有 200 亿 
个 物 联 网 设备 ， 这 只 会 继续 加 剧 分 布 式 拒绝 服务 攻击 的 威胁 。 




















3.2 ”解析 网 络 攻 击 所 造成 的 损失 


到 目前 为 止 ， 我 们 所 讨论 的 财务 损失 并 不 是 因为 攻击 期 间 有 钱 被 
盗 ， 也 不 是 数据 被 盗 之 后 在 暗 网 上 出 售 获 利 所 致 。 所 有 网 络 攻击 都 与 公 
司 遗 受 的 其 他 损失 捆绑 在 一 起 ， 其 中 一 些 损失 甚至 在 攻击 发 生 数 年 后 仍 
可 感受 到 。 这 就 是 为 什么 一 些 不 涉及 直接 金钱 损失 的 攻击 也 被 列 为 导致 
昂 贯 成 本 的 攻击 。 例 如 ， 拒 绝 服 务 攻击 并 不 涉及 从 企业 盗 急 资金 ， 但 是 
据说 每 次 分 布 式 拒绝 服务 攻击 所 导致 的 平均 成 本 约 为 150 万 美元 ， 这 是 
网 络 攻击 所 带 来 的 其 他 损失 。 以 下 是 网 络 攻击 所 造成 的 损失 的 解析 。 











3.2.1 生产 损失 


在 网 络 攻击 期 间 ， 某 些 公司 的 生产 过 程 将 被 迫 中 断 。 例 如 ， 一 旦 受 
到 分 布 式 拒绝 服务 攻击 或 基于 Web 的 攻击 ， 电 子 商务 网 站 的 业务 就 无 法 
正常 运作 。 在 攻击 期 间 ， 企 业 还 被 过 关闭 了 整个 网 络 ， 因 而 妨碍 了 任何 
形式 的 电子 通信 的 有 发生。 在 各 个 行业 中 ， 网 络 攻击 都 可 能 会 对 生产 系统 
造成 损害 。 武 器 化 的 网 络 攻击 甚至 可 能 通过 破坏 人 硬件 设施 来 破坏 工业 机 
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随 痢 世界 范围 内 鄞 争 局 势 的 变化 ， 人 们 担心 会 出 现 一 波 又 一 小 的 针 
对 工业 部 门 主要 参与 者 的 网 络 攻击 。 攻 击 趋 势 发 生 了 根本 性 的 转变 ， 因 
为 黑客 不 再 只 是 贫 图 盗 取 资金 或 勒索 钱财 ， 他 们 还 通过 网 络 攻击 控制 着 
生产 线 上 的 机 器 的 目 动 化 流程 和 系统 ， 从 而 造成 更 大 的 破坏 。 网 络 攻击 
正在 进入 危险 阶段 ， 可 能 造成 人 号 伤 害 甚至 死亡 。 











无 论 如 何 ， 生 产 损失 正在 上 升 到 新 的 高 度 ， 并 变 得 越 来 越 严 重 。 
2016 年 ， 一 种 名 为 WannaCry 的 勒索 软件 攻击 能 够 加 密 许多 工业 流程 中 
使 用 的 计算 机 。 一 些 医院 受 此 影响 ， 导 致 部 分 关键 计算 机 
护 生 命 文 持 系统 或 安排 医疗 设施 中 的 操作 的 计算 机 ) 变 得 无 法 使 用 。 
导致 的 损失 极其 严重 ， 甚 至 危及 人 命 。 其 他 影响 深远 的 方面 还 包括 环境 
影响 、 监 管 风 险 和 受害 者 将 面临 的 刑事 责任 。 





3.22 ”经 济 损失 


网 络 犯 罪 已 成 为 许多 国家 或 地 区 的 经 济 灾难 。 据 估计 ， 每 年 至 少 有 
6000 亿 美元 通过 网 络 犯罪 从 全 球 经 济 中 流失 。6000 亿 美元 是 个 天 文 数 
字 ， 这 一 损失 的 影响 也 颇 为 广泛 ， 包 括 影响 就 业 机 会 。 网 络 犯罪 正在 损 
害 经 济 ， 而 这 反 过 来 则 损害 了 就 业 市 场 。 





全 球 企业 每 年 因 网 络 犯罪 而 遭受 的 损失 相当 于 全 球 GDP 的 近 1%， 
它 正在 影响 新 增 束 业 机 会 、 创 新 和 经 济 的 增长 。 


因此 ， 网 络 安全 公司 McAfee 和 美国 战略 与 国际 问题 研究 中 心 
(Center for Strategic and International Studies, CSIS) 的 一 份 报告 提 
到 ， 网 络 犯 罪 估计 每 年 给 全 球 经 济 造 成 6000 亿 美元 的 损失 ， 远 高 于 2014 
年 的 一 项 研究 所 表明 的 4450 亿 美元 。 





企业 正 受到 商业 间谍 活动 的 攻击 ， 其 商业 机 密 正 在 被 海外 竞争 对 于 
贸 取 。 从 长 远 来 看 ， 由 于 市 场 上 充斥 着 与 正品 类 似 的 便宜 且 不 合格 的 产 
品 ， 相 关 企 业 将 持续 面临 亏损 。 这 迫使 曾经 快速 发 展 、 开 设 多 个 分 文 机 
构 并 雇用 数 和 干 名 员工 的 公司 开始 缩减 规模 并 裁员 。 据 估计， 在 美国 ， 网 
络 犯 罪 已 造成 超过 20 万 个 工作 岗位 的 流失 。 网 络 犯罪 造成 的 群众 失业 以 
及 金钱 流失 使 它 成 为 全 球 都 在 关注 的 主要 问题 。 但 是 ， 避 免 损 失 可 能 状 
时 已 晚 ， 许 多 行业 的 商业 机 蜜 已经 被 禄 取 。 许 多 企业 甚至 不 知道 目 己 兽 
遭 到 攻击 并 且 其 商业 机 密 已 经 被 盗 。 由 此 看 来 ， 经 济 损失 可 能 还 会 持续 
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3.2.3 ”品牌 和 声誉 损失 


为 保持 一 定 的 市 场 份额 并 且 持 续 让 投资 者 满意 ， 企 业 将 花费 大 量 
金 来 建 立 自 己 的 品牌 。 假 徊 品牌 没 有 足够 的 影响 力 ， 一 些 公 司 可 能 会 被 
遗 筷 。 网 络 攻击 往往 会 产生 负面 新 闻 ， 这 会 损害 公司 的 品牌 和 声誉 。 投 
资 者 可 能 狗 狂 出 售 股票 以 防止 股价 进一步 下 跌 ， 持 股 的 股东 不 确定 他 们 

售 能 退回 被 套 在 股票 中 的 钱 。 随 后 ， 顾 客 不 再 信任 受害 公司 的 商品 和 
服务 。 紧 接着 ， 苋 争 对 手 利 用 这 种 情况 并 加 强 营 销 ， 以 吸引 受害 公司 的 
顾客 和 投资 者 。 由 于 网 络 攻击 无 法 预防 ， 因 此 这 种 情况 可 能 在 一 天 或 一 
周 之 内 发 生 。 投 资 者 总 是 和 硕 望 投资 他 们 信任 的 公司 ， 而 顾客 总 是 希望 从 
他 们 信任 的 公司 购买 服务 。 当 网 络 攻击 破坏 了 这 种 信任 时 ， 投 资 者 和 顾 
客 都 将 转向 他 们 信任 的 公司 。 网 络 攻 击 对 品牌 的 损害 是 非常 严重 的 。 雅 
虎 就 是 一 个 很 好 的 例子 。 在 雅虎 发 生 3 次 安全 事件 之 后 ，Verizon 以 比 前 
一 年 提出 的 收购 价 少 40 亿 美元 的 价格 收购 了 该 公司 ， 而 在 当时 ， 这 些 攻 
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击 事件 并 没有 被 公开 。 因 此 ， 和 雅虎 由 于 网 络 攻 击 造成 的 品牌 破坏 效应 而 
损失 了 近 40 亿 美元 。 针 对 雅虎 的 集体 诉讼 也 导致 其 估 值 下 降 。 


3.2.4 数据 丢失 





尽管 云 的 好 处 多 多 ， 但 据说 出 于 安全 方面 的 考虑 ， 企 业 放 慢 了 迁移 
上 云 的 步伐 。 那 些 了 解 云 概念 的 公司 大 部 分 都 只 完成 了 一 半 的 云 迁 移 ， 
而 不 会 冒险 将 关键 数据 交 给 云 服 务 供应 商 。 许 多 企业 花费 大 量 资源 来 保 
护 其 系统 和 网 络 ， 以 降低 潜在 的 数据 丢失 风险 。 这 些 企业 之 所 以 劳 神 费 
力 地 采用 这 种 方式 ， 是 因为 他 们 可 以 确保 那些 高 价值 的 数据 不 会 丢失 ， 
例如 商业 机 密 。 如 果 黑 客 发 现 了 用 于 解锁 iPhone 的 密 铀 ， 那 么 他 们 可 以 
通过 将 该 密 钥 出 售 给 地 下 市 场 来 赚钱 。 这 种 信息 的 价值 已 经 高 到 苹果 公 
司 不 愿意 回 当 局 提供 密 钥 以 破坏 锁定 机 制 ， 并 协助 调查 恐怖 分 子 。 这 不 
是 苹果 公司 不 支持 反恐 战 争 ， 而 是 为 了 保护 其 所 有 用 户 。 以 下 是 关于 苹 
果 公 司 拒绝 为 FBI 解 锁 iPhone 的 文章 的 摘录 。 





“苹果 公司 CEO 带 姆 : 库 克 告诉 员工 ， 人 苹果 公司 拒绝 与 美国 政府 合作 
解锁 圣 贝 纳 迪 话 狼 击 事件 的 两 名 枪手 之 一 塞 德 :法 鲁 克 用 过 的 iPhone， 这 
一 举措 是 为 了 捍卫 公民 自由 。” 


任何 公司 都 不 会 将 如 此 敏感 的 信息 交 给 第 三 方 。 对 苹果 公司 而 言 ， 
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如 果 黑 客 禄 取 了 与 苹果 设备 安全 措施 及 其 所 含有 的 缺 隐 有 关 的 文档 ， 该 
公司 将 面临 股价 下 跌 和 客户 流失 的 问题 。 在 提供 更 加 敏感 服务 的 机 构 

中 ， 数 据 丢失 导致 的 后 果 将 更 为 严重 。 例 如 ， 据 报道 ，2018 年 6 月 ， 一 
家 类 国 海军 的 服务 供应 丙 因 黑客 攻击 而 丢失 了 大 量 数据 。 在 被 盗 的 敏感 
数据 中 ， 包 括 有 关 海 战 、 超 音速 反 舰 导弹 计划 以 及 美国 舰艇 和 潜艇 的 其 
他 军备 和 防御 细 市 的 敏感 数据 。 


3.2.5 ”罚款 和 诉讼 


企业 可 以 掩饰 网 络 攻击 中 的 数据 丢失， 特别 是 丢失 的 数据 原本 束 敏 
感 时 。 健 康 、 个 人 和 财务 数据 的 泄露 将 造成 公司 极 大 的 痛 苗 ， 这 些 类 型 
的 数据 泄露 会 带 来 更 多 损失 ， 包 括 训 于 和 诉讼 。 如 果 一 家 公司 们 é 黑 客 入 
侵 ， 他 们 不 仅 得 不 到 同情 和 安 恢 ， 反 而 还 会 被 起 诉 ， 并 被 处 以 巨额 鹿 
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一 些 法 规 已 经 制定 出 来 ， 用 以 确保 收集 个 人 身份 信息 的 企业 对 这 些 
敏感 数据 的 保护 。 这 是 由 于 此 类 信息 被 盗 贸 后 所 市 来 的 影响 巨大 。 在 暗 
网 上 ， 对 个 人 喘 份 信息 的 需求 持续 升 高 ， 这 是 因为 个 人 身份 信息 在 各 个 
方面 都 很 有 价值 。 例 如 ， 如 有 果 黑 客 发 现 从 医院 偷 来 的 菏 些 数据 中 包含 政 
客 的 健康 信息 ， 那 么 他 们 可 以 使 用 这 些 数据 问 政 客 勒 索 大 量 金钱 。 在 忆 
一 种 情况 下 ， 黑 客 可 以 使 用 个 人 喘 份 信息 进行 社会 工程 学 攻击 。 拥 有 个 
人 详细 信息 ， 例 如 姓名 、 出 生日 期 、 真 实 居住 地 址 和 当前 联系 方式 ， 对 
一 个 熟练 的 “社会 工程 师 ” 来 说 ， 欺 骗 目 标 是 一 件 非 党 容易 的 事情 。 这 就 
是 政府 制定 严格 的 法 律 来 保护 个 人 身份 信息 的 原因 之 一 。 

















3.2.6 ”恢复 技术 造成 的 损失 


当 遭 受 攻击 后 ， 企 业 将 竭尽 所 能 地 开展 自救 活动 。 一 次 严重 的 攻击 
所 导致 的 后 果 显 然 并 不 美好 ， 企 业 不 得 不 动用 大 量 资金 来 处 理 黑 客 造成 
的 混乱 。 一 些 公司 倾向 于 对 他 们 的 信息 系统 进行 全 面 的 审计 ， 以 找 出 被 
攻击 的 确切 原因 或 影响 因素 。 攻 击 事件 之 后 的 活动 《例如 IT 审计 ) 可 以 
发 掘 出 一 些 重 要 信息 ， 这 些 信 息 可 用 于 阻止 黑客 执行 同类 型 的 攻击 。 一 
些 公 司 更 愿意 花 钱 雇 用 数字 取证 专家 ， 以 找 出 被 攻击 的 原因 ， 并 追踪 黑 
客 攻击 的 痕迹 或 被 资 的 数据 和 钱 。 利 用 数字 取证 技术 有 时 甚至 可 以 追 回 
部 分 丢失 的 资产 或 资金 。 例 如 ，Ubiquiti Networks 在 2015 年 遭 到 黑客 攻 
击 ， 黑 客 通 过 社会 工程 学 攻击 鳃 取 了 4600 万 美元 。 利 用 数字 取证 技术 ， 
该 公司 成 功 从 黑客 的 一 个 海外 账户 中 退回 了 810 万 美元 。 尽 管 有 时 候 所 
有 被 盗 的 钱 都 可 以 退回 ， 但 在 大 多 数 情况 下 ， 情 况 并 非 如 此 。 以 下 是 有 
关 Ubiquiti Networks 在 被 次 4600 万 美元 的 攻击 后 退回 810 万 美元 的 文章 。 


























“该 事件 涉及 员工 假冒 和 来 自 针 对 公司 财务 部 门 的 外 部 实体 的 欺诈 
性 请 求 。 这 种 欺诈 行为 导致 子 公 司 所 持 有 的 总 计 4670 万 美元 资金 转移 到 
了 第 三 方 持 有 的 海外 账户 。” 








Ubiquiti 说 ， 到 目前 为 止 ， 他 们 已 经 设法 追 回 了 损失 资金 中 的 810 万 
美元 ， 并 表示 他 们 还 将 再 追 回 680 万 美元 的 损失 。 至 于 剩 下 的 能 否 追 
回 ， 则 不 得 而 知 。 








简 而 言 之 ， 网 络 攻击 导致 的 成 本 很 高 ， 在 实际 攻击 发 生 后 ， 相 关 宽 
用 支出 甚至 可 能 会 持续 好 几 年 。 当 前 估计 的 受害 企业 每 遭受 一 次 攻击 所 
付出 的 代价 约 为 300 万 美元 ， 但 这 仅 是 统计 数字 。 个 别 公司 可 能 蒙受 
加 巨大 的 损失 。 由 网 络 攻击 导致 的 各 种 成 本 已 经 在 本 章 中 进行 了 详细 说 
明 。 但 是 ， 与 网 络 安全 相关 的 成 本 并 不 仅仅 与 攻击 所 带 来 的 负面 后 果 有 
天 。 购 买 网 络 安全 产品 是 企业 面临 的 一 项 必 不 可 少 的 支出 。 据 分 析 人 士 
所 述 ， 有 75% 的 网 络 攻击 发 生 在 没有 设置 任何 网 络 安全 产品 的 个 人 或 企 
We Ee 











3.3 ”企业 网 络 安全 的 成 本 分 析 


在 全 球 范 围 内 ， 企 业已 经 意识 到 ， 如 采 在 其 网 络 和 设备 上 没有 运行 
网 络 安全 产品 的 话 ， 他 们 将 无 法 开展 运营 。 网 络 威胁 一 直 存 在 ， 因 此 ， 
没有 所 谓 的 安全 窗口 期 可 以 让 企业 在 没有 这 些 安全 产品 的 情况 下 开展 运 
营 。 网 络 攻 击 已 经 形成 了 一 个 利润 丰厚 的 网 络 安全 产业 ， 因 此 企业 不 得 
不 购买 多 种 网 络 安全 产品 来 覆盖 多 个 威胁 领域 。 企 业 必 须 确 保 其 网 络 的 
安全 性 ， 服 务 器 、 主 机 和 任何 连接 到 企业 网 络 的 其 他 计算 机 都 必须 受到 
保护 。 必 须 防止 内 部 威胁 对 企业 造成 伤害 ， 此 外 ， 还 必须 保护 员工 免 受 
直接 攻击 ， 例 如 社会 工程 学 攻击 。 黑 客 不 断 发 现 攻击 企业 的 新 途径 ， 因 
此 ， 网 络 安全 行业 需要 不 断 开 发 产 品 以 防止 黑客 利用 这 些 途 径 ， 企 业 IT 
文 出 只 会 不 断 增 加 。 最 重要 的 是 ， 企 业 必 须 建立 抵御 网 络 攻击 的 机 制 。 
这 是 因为 ， 尽 管 企 业 可 以 在 网 络 安全 产品 上 进行 大 量 投资 ， 但 仍 不 能 保 














证 100% 免 受 攻击 。 例 如 ， 一 名 心怀 不 满 的 员工 可 能 直接 允许 黑客 访问 
企业 网 络 。 因 此 ， 企 业 需 要 具备 网 络 弹性 ， 这 使 企业 即使 受到 攻击 也 可 
以 快速 恢复 。 当 然 ， 做 到 这 一 扣 并 不 便宜 。 下 和 面 ， 我 们 将 逐一 解析 保护 
企业 安全 需要 付出 的 成 本 。 


3.3.1 ”每 个 金融 机 构 都 应 该 了 解 Carbanak 


卡巴 纳 元 (Carbanak)〉 是 卡巴 斯 基 实 验 室 用 于 针对 金融 机 构 但 不 限 
于 金融 机 构 的 APT 风 格 的 市 场 营 销 的 名 称 。 攻 击 者 渗透 到 受害 企业 的 网 
络 中 ， 寻 找 可 以 用 来 护 取 利益 的 关键 系统 。 一 旦 他 们 偷 到 了 足够 多 的 
钱 ， 便 悄然 离 去 。 


3.3.2 杀毒 软件 


预防 是 网 络 安全 最 常见 的 形式 ， 许 多 企业 都 依赖 于 防御 攻击 的 工 
共 。 大 多 数 操作 系统 都 附带 基本 的 安全 产品 ， 提 供 免 费 的 病毒 和 恶意 软 
件 防 护 ， 以 保护 操作 系统 免 受 攻击 。 这 些 系统 至 少 可 以 防止 计算 机 病毒 
和 间谍 软件 感染 计算 机 。 和 杀毒 软件 一 直 在 演进 ， 并 且 行 业 领 导 者 基于 全 
球 威胁 环境 而 不 断 在 杀毒 软件 中 添加 更 多 额外 的 功能 ， 如 图 3-3 所 示 。 
例如 ， 经 过 2016 年 泛滥 的 勒索 软件 攻击 之 后 ， 许 多 杀毒 软件 供应 商 增加 
本 蔓 索 软件 保护 功能 ， 这 很 可 能 是 勒索 软件 在 全 球 范 围 内 所 造成 的 影响 
而 导致 的 。 





评价 及 评分 
杀毒 软件 To 授权 许可 数量 最 佳 价格 


上 E 巴 斯 基 579 条 评价 3 个 24.9 美 元 

4.0 星 

比特 凡 德 88 条 评价 3 个 59.99 美 元 
3.0 星 

E FSO 1327 条 评价 3 个 39.00 美 元 
4.0 星 

BullGuard Premium 2 条 评价 I 65.18 美 元 
3.0 星 

F AVG 反 病毒 29 条 评价 3 个 35.26 美 元 
3.5 星 

i Se Sb 22 条 评价 3 个 38.88 美 元 
人 452 

图 3-3 


3.3.3 ”终端 检测 和 啊 应 解决 方案 


终端 检测 和 啊 应 “Endpoint Detection and Response, EDR) 解决 方 
案 是 网 络 安全 市 场 中 的 新 安全 解决 方案 ， 它 可 满足 企业 持续 对 终端 安全 
问题 和 可 疑 活 动 进行 检测 和 缓解 的 需求 。 这 些 系统 同时 提供 安全 技术 和 
安全 状态 。 与 终端 防护 程序 〈 如 杀毒 软件 ) 不 同 ，EDR 解 决 方案 不 只 是 
专注 于 抵御 威胁 的 攻击 。EDR 解 决 方案 提供 对 多 种 终端 的 持续 监控 ， 并 
有 助 于 发 现 、 调 查 和 响应 威胁 。 它 们 在 传统 解决 方案 之 外 ， 提 供 了 一 条 
通 向 安全 的 新 途径 。 领 先 的 杀毒 软件 公司 不 断 宣 传 并 建议 其 客户 向 其 现 
有 软件 中 添加 更 新 的 模块 。 可 是 即便 企业 进行 了 额外 的 投资 ,但 由 于 杀 
毒 软件 依赖 于 基于 签名 的 技术 来 阻止 攻击 的 发 生 ， 杀 毒 软件 也 无 法 为 终 
问 提 供 全 面 的 保护 。 这 是 由 于 杀毒 软件 的 盲区 正在 变 得 越 来 越 普 过 ， 以 
及 黑客 使 用 PowerShell 等 工具 来 辐 避 杀毒 软件 的 检测 。 当 攻击 发 生 在 终 
端 时 ， 杀 毒 软件 需要 人 工 干 预 以 调查 攻击 ， 并 且 和 需要 更 长 的 时 间 才 能 发 








布 攻击 的 签名 并 将 其 更 新 到 其 他 杀毒 软件 中 。 对 于 某 些 杀毒 软件 ， 攻 击 
签名 的 更 新 是 手动 的 ， 因 此 网 络 中 的 其 他 终端 可 能 仍 在 运行 程序 ， 而 这 
些 程序 对 于 那些 已 经 对 网 络 中 的 终 并 造成 破坏 的 新 型 恶意 软件 至 不 知 


情 。 





为 了 降低 终端 安全 的 复杂 度 ， 提 高 其 可 靠 性 ，EDR 解 决 方案 把 多 种 
安全 解决 方案 集成 在 一 个 产品 之 中 。 它 们 可 以 阻止 已 知 和 未 知 攻击 、 阻 
止 零 日 攻击 、 独 立 处 理 安全 事件 ; 不 依赖 签名 ， 因 此 可 以 脱 机 运行 ， 可 
以 自动 发 现 网 络 资产 并 且 还 可 以 进行 取证 。EDR 解 决 方案 提供 了 全 方位 
的 解决 方案 ， 使 得 企业 可 以 放弃 传统 解决 方案 ， 例 如 杀毒 软件 、 沙 箱 、 
入 侵 检测 和 入 侵 防 御 系 统 。 管 理 员 无 须 再 监视 多 个 系统 ， 仅 需 关 注 一 个 
系统 即 可 。EDR 解 诀 方 案 是 一 个 平台 ， 企 业 可 以 根据 需要 问 其 不 断 添 加 
新 的 应 用 程序 和 服务 。 因 此 ，EDR 解 决 方案 相当 适用 于 现代 攻击 环境 。 








你 可 以 查阅 市 面 上 的 EDR 解 决 方案 列表 ， 以 及 它们 的 功能 和 价格 信 


ct 


3.3.4 防火墙 


防火 墙 能 对 流入 和 流出 企业 网 络 的 流量 进行 过 滤 ， 但 其 功能 早已 不 
仅 限 于 此 ， 它 还 包含 了 其 他 诸如 帮助 防御 分 布 式 拒 绝 服务 攻击 的 功能 。 


防火 墙 发 展 迅速 ， 并 且 智 能 防火 墙 已 经 被 企业 使 用 ， 而 且 比 传统 的 基于 
规则 的 防火 墙 更 加 有 效 。 这 是 由 于 互联 网 流量 变化 迅速 ， 而 智能 防火 墙 
能 够 区 分 恶意 流量 和 正 间 流量 。 下 一 代 防 火 墙 的 出 现 是 网 络 安全 的 一 大 
飞跃 ， 使 部 普 了 这 些 防 火 墙 产品 的 公司 可 以 免 受 各 种 各 样 的 互联 网 威胁 
的 攻击 。2018 年 基于 主机 的 防火 增产 品 的 成 本 每 年 在 40~~99 美 元 ， 而 企 
业 防 火 墙 的 成 本 在 750 美 元 以 上 ， 其 价格 如 图 3-4 所 示 。 





产品 价格 总 体 恶意 软件 Hie y 
评价 测试 结果 用 户 体验 检测 与 清除 系统 资源 许可 证 数量 


3.3.5 入侵 防御 系统 


入 侵 防 御 系 统 部 署 在 企业 网 络 上 ， 以 帮助 检测 和 防止 网 络 上 的 可 疑 
活动 ， 例 如 枚 举 攻 击 。 攻 击 通常 始 于 一 些 可 疑 的 活动 ， 例 如 ， 攻 击 者 试 
图 了 解 有 关 网 络 及 其 连接 设备 的 更 多 信息 。 入 侵 防御 系统 非常 昂 贯 ， 但 
是 对 于 提高 企业 网 络 的 安全 级 别 却 是 必要 的 。2018 年 ， 入 侵 防御 系统 的 
平均 价格 为 6 万 美元 ， 而 性 能 较 差 的 产品 的 平均 价格 为 5000 美 元 。 


3.3.6 “加密 


加 密 是 企业 用 来 保护 其 数据 安全 的 常见 安全 机 制 。 加 密 算 法 的 质量 
和 成 本 各 不 相同 ， 算 法 的 成 本 通常 取决 于 要 使 用 多 少 资源 来 加 密 或 解密 
数据 。 据 说 ， 被 盗 的 雅虎 用 户 数 据 使 用 的 是 易于 破解 的 MD5 算 法 进行 加 
密 。 企 业 致力 于 开发 易于 使 用 、 经 济 实惠 有 旦 能 够 抵御 破解 攻击 的 加 密 软 
件 。 市 面 上 有 和 免费 的 全 盘 加 密 软件 ， 也 有 付费 的 高 级 版 本 的 加 密 软件 ， 
购买 高 级 版 本 的 加 密 软件 所 需 付 出 的 平均 成 本 在 2018 年 的 时 候 为 230 美 
元 。 除 了 对 主机 进行 加 密 之 外 ， 企 业 还 必须 向 访问 其 网 站 的 用 户 提 供 
SSL 加 密 数 据 连接 。SSL 证 书 由 不 同 的 供应 商 提供 ， 它 可 确保 用 户 与 企 
业 服 务 器 之 间 的 连接 的 安全 。 有 人 免费 的 SSL 证 书 可 供 企 业 使 用 ， 而 付费 
的 基本 版 SSL 证 书 每 年 起 价 约 为 249 美 元 。 图 3-5 所 示 是 SSL 证 书 的 市 场 
领导 者 Thawte 提 供 的 不 同类 型 SSL 证 书 的 价格 清单 。 





Thawte 


Thawte offers five SSL certificate options; Thawte SSL ($149/yr), 
Web Server SSL ($249/yr), Web Server EV SSL ($599/yr)and 
SGC SuperCerts ($699) and Wildcard SSL ($639/yr). All the 
certificates have 128/256 bit encryption and come with warranty 
ranging from 100,000 US to 500,000 USD. 


The certificates are issues between 24 to 48 hours and come with a 
free Thawte Site Seal. You can compare the features of the SSL 


certificates at the website. 


图 3-5 





企业 还 必须 购买 许多 其 他 更 高 级 的 安全 产品 ， 至 少 需要 购买 前 面 介 
绍 过 的 产品 。 为 使 网 络 具 备 弹 性 ， 企 业 往 往 设立 了 备用 站 点 ， 这 意味 着 
企业 必须 在 网 络 安全 方面 进行 加 倍 的 投入 以 保护 这 些 并 没有 被 真正 使 用 








y 


的 站 点 。 尽 管 为 确保 企业 网 络 安全 需要 进行 大 量 的 资金 投入 ， 但 为 网 络 
安全 投资 的 每 一 分 钱 都 是 值得 的 。 


3.4 微软 的 安全 防御 栈 





由 于 微软 的 Windows 操 作 系统 是 许多 金融 行业 内 的 企业 的 核心 操作 
系统 ， 因 此 我 们 认为 在 本 书 中 为 其 添加 一 节 内 容 将 非常 有 价值 。 本 市 将 
帮助 你 基于 微软 提供 的 安全 功能 构建 一 个 完整 的 终端 检测 啊 应 解决 方 


Ro 





为 什么 我 们 要 介绍 基于 德意志 银行 所 建议 的 关于 微软 的 这 部 分 内 容 
呢 ? 因 为 分 析 师 表示 “微软 的 安全 业务 应 当 受 到 投资 者 的 关注 ”。 


Gartner 对 于 微软 的 SWOT 分 析 “SWOT: Microsoft, Security Products, 
and Features, Worldwide” 也 印证 了 人 微软 是 一 个 安全 供应 商 。 


“微软 现在 是 一 个 安全 供应 两 。 安 全 服务 厂商 的 技术 产品 经 理 们 可 
以 借助 本 文 ， 基 于 微软 的 安全 方法 重 塑 其 产品 路 线 图 和 发 现 商 机 。” 


3.4.1 微软 提供 了 什么 


Windows 10 提 供 的 防御 栈 如 图 3-6 所 示 。 


图 3-7 说 明了 Windows 10 的 安全 功能 和 优势 。 


Windows 10 防 御 栈 
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图 3-6 
功能 说 明 
Hie ae Windows (i FA ee EE (TPM) AN BEIMR SE a 
Windows 即 服务 通过 最 新 的 累积 功能 和 安全 性 使 操作 系统 始终 保持 最 新 状 念 ， 以 防止 被 利用 
Windows 可 售 房 动 确保 Windows 引 导 程 序 利 反 病毒 软件 在 任何 应 用 程序 /恶意 软件 运行 之 前 应 动 
UEEI 安 全 府 动 BIDS 系 统 的 赫 代 均 ， 确 保 府 动 前 使 件 和 Windows 未 被 稀疏 
某 十 虚拟 化 的 安全 技术 将 操作 系统 关键 功能 容 和 车 化 ， 以 防止 诸如 “传递 哈 希 ”之 类 的 攻击 
SmartSereon 防止 用户 访问 列 入 黑 名 单 的 网 站 或 执行 被 列 入 黑 名 单 的 庶 月 程序 
z Windows 防 火 墙 设备 级 PC 防火 接 ， 以 防止 林 经 授权 的 网 络 访问 设备 
x Windows Defender E T EDR Bx FCA RU PRY Id TEE FE 
aS 微软 Edge 济 览 器 WES 和 最 安全 的 企业 浏览 器 ， 兵 滑 源 数 其 仅 为 其 他 浏览 器 的 一 半 
a WDM FI EH F Microsoft Rdgc 的 微型 硬件 隔离 的 Windows 实 例 ， 可 用 于 浏览 不 受信 任 的 
K eae 网 站 仅 开 或 Windows Slore 批 准 的 应 月 程序 才 可 运行 
p Windows Hello EAAS REC. EPR ERPINHET 8x AK EAE 
3 Hello [eff f 使 由 电 话 、 向 剖 、 吕 穿戴 设备 或 其 他 设备 ， 通 过 Windows Hello 解 锁 PC 
= 凭据 宁 打 防止 用 请 赁 据 被 盗用 并 在 网 络 上 的 其 他 设备 上 使 用 
BitLocker 及 设备 加 密 使 用 加密 交 数据 锁定 在 古 盘 上 
BitLocker to Go 使 用 加 密 将 数据 锁定 在 移动 存储 或 共 他 存储 设备 上 
BitLocker PLZ iiz Wie ali fe ZS itLocker jl i AMR AEE, hae fii EL 
Windows 信 息 站 is 叫 作 i ee EA ABN) AAT LE Ste A TE TEE, T EHR. MEE 
EDP， 企 业 数 据 在 未 经 管理 的 机 器 上 无 法 打开 受 怀 入 的 
Windows Te orth TETA 基于 云 的 全 蒜 威 胁 情 报 服务 ， 用 于 检测 、 A 网 络 的 高 级 攻击 . 
防护 可 以 了 Tae AS Me CH DUA RE Le 
条 件 访问 上 只 有 符合 您 的 安全 标准 的 未 被 代 改 的 设备 才能 访问 相应 资源 
图 3-7 


3.4.2 Windows Defender 安 全 中 心 


Windows Defender 安 全 中 心包 括 以 下 五 大 功能 ， 可 以 让 你 控制 和 碍 
看 设备 的 安全 性 、 健 康 状 况 和 在 线 安全 体验 。 


。 病毒 和 威胁 防护 : 提供 病毒 防护 的 视图 ， 包 括 Windows Defender% 
全 中 心 提 供 的 杀毒 功能 和 我 们 上 述 讨 论 过 的 任何 其 他 杀毒 软件 。 

e 设备 性 能 和 运行 状况 : 提供 有 关 Windows 最 新 更 新 、 驱 动 程序 、 电 
池 寿 命 和 存储 容量 的 单一 视图 。 

e 防火 增 和 网 络 保护 : 提供 有 关 网 络 连 接 和 激活 Windows 防 火 墙 设置 
的 信息 。 

。 应 用 程序 和 浏览 器 控制 : 调整 应 用 程序 和 浏览 器 设置 ， 从 而 在 你 浏 
览 潜 在 恶意 站 点 、 下 载 和 安装 来 自 互 联网 的 无 法 识别 出 处 的 应 用 程 
序 和 文件 的 时 候 警 告 你 ， 帮 助 你 更 加 了 人 解 情况 并 确保 安全 。 

。 家 性 选项 ， 可 以 轻松 地 管理 家 性 选项 。 








3.4.3 Windows Defender 








EDR 人 解决 方案 意味 着 保护 终端 安全 ， 而 Windows 10 内 置 了 Windows 
Defender. Windows Defender 包 含 5 个 子 功能 防火墙、 防 病毒 、 漏 润 利 
用 防护 、 恶 意 软件 防护 和 SmartScreen。 





以 上 功能 可 以 通过 Windows Defender 安 全 中 心 控 制 台 进行 设置 ， 如 
图 3-8 所 示 。 


安全 性 概览 


了 解 设备 当前 的 安全 性 和 运行 情况 并 采取 必要 操作 。 


Q 只 «ð E 


病毒 和 威胁 防护 帐户 保护 防火 墙 和 网 络 保护 应 用 和 浏览 器 控制 
无 需 执行 任何 操作 。 无 需 执行 任何 操作 。 无 需 执行 任何 操作 。 无 需 执行 任何 操作 。 


=} ~ ah 


设备 安全 性 设备 性 能 和 运行 状况 家 庭 选项 
查看 状态 并 管理 硬件 安全 功 无 需 执行 任何 操作 。 管理 你 的 家 人 使 用 设备 的 方 
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通过 实施 已 知 安全 措施 和 对 已 知 危 害 指 标 进 行 检 测 ， 这 5 个 功能 专 
注 于 实施 预防 性 措施 。 独 立 评测 (如 由 AV-TEST 进行 的 测试 ) 显示 ， 
和 其 他 商业 杀毒 软件 相 比 ，Windows Defender 防 病毒 软件 毫 不 进 色 ， 如 
图 3-9 所 示 。 


业界 平均 
9 月 10H 价值 


防御 0-Day 普 意 软件 攻击 ， 包 括 Web 和 电子 邮件 威胁 (真实 测试 ) & e 


共 使 用 202 个 样本 
检测 最 近 4 周 内 发 现 的 广泛 流行 的 瑟 意 软件 〈 反 病毒 测试 参考 集 ) 7 
共 使 用 9797 个 样本 

图 3-9 


3.4.4 Windows Defender 漏 洞 利用 防护 


Windows Defender 漏洞 利用 防护 是 一 系列 工具 和 功能 的 集合 ， 使 网 
络 免 受 攻击 。 漏 洞 利用 代码 是 恶意 软件 的 传播 媒介 ， 后 者 依赖 于 软件 中 


的 安全 漏洞 。 
漏 调 利 用 防护 通过 以 下 方式 提供 帮助 。 


。 在 一 线 阻 止 攻 击 。 
o 提高 攻击 者 的 入 侵 成 本 。 
。 减少 损坏 的 防御 性 措施 。 
o 假设 前 线 防御 措施 可 能 失效 。 
o 提高 攻击 者 实施 破坏 的 成 本 。 
o 防止 横 问 移动 。 
。 恢复 和 啊 应 。 
o 假设 所 有 防御 措施 都 可 能 失效 。 
o 快速 啊 应 以 检测 威胁 并 中 断 攻 击 。 
o 从 攻击 者 无 法 访问 的 备份 中 恢复 数据 。 


3.4.5” 受 控 的 文件 夹 访问 





受 控 的 文件 夹 访问 可 帮助 你 保护 高 价值 数据 免 遭 恶意 应 用 程序 等 威 
胁 的 侵害 ， 例 如 勒索 软件 。 





受 控 的 文件 夹 访 问 和 Windows Defender 高 级 威胁 防护 配合 使 用 ， 可 
以 为 你 提供 有 关 Windows Defender EG 事 件 和 阻止 的 详细 报告 ， 而 这 也 
是 党 规 警 报 调查 方案 的 一 部 分 。 








要 局 用 受 控 的 文件 夹 访问 ， 请 参考 图 3-10 所 示 的 屏幕 截图 。 





at 


Q Home ae 
) Virus & threat protection % Virus & threat protection settings 
只 Account protection ~ 


Firewall & network protection 


© Virus & threat protection updates N Ransomware protection 
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3.4.6 ”网 络 防护 


网 络 防护 有 助 于 减少 设备 的 网 络 攻击 面 ， 它 可 以 防止 员工 使 用 应 用 
程序 访问 危险 网 站 ， 这 些 互联 网 上 的 网 站 可 能 含有 网 络 钓 色 、 漏 洞 利 用 
代码 和 其 他 恶意 内 容 。 





它 扩展 了 Windows Defender SmartScreen 的 范围 ， 以 阻止 任何 尝试 连 
接 到 信誉 度 较 低 的 目标 的 出 站 HTTP Cs) 通信 ， 而 这 也 是 Windows 
Defender 漏 洞 利用 防护 的 一 部 分 。 你 可 以 使 用 组 策略 或 PowerShell 以 审 
核 或 阻止 模式 局 用 网 络 防护 功能 。 你 还 可 以 使 用 PowerShell 对 网 络 防 护 
进行 审计 。 在 “开始 ”菜单 中 输入 powershell， 右 击 Windows PowerShell, 
然后 选择 “以 管理 员 身 份 运行 ”命令 。 随 后 输入 以 下 命令 ， 如 网 3-11 所 


ZN o 


Set-MpPreference -EnableNetworkProtection Enabled 








E Administrator: Windows PowerShell 
d Power She 





图 3-11 


你 可 以 使 用 以 下 命令 以 审核 模式 启用 网 络 防 护 功 能 ， 结 果 如 图 3-12 
所 示 。 


Set-MpPreference -EnableNetworkProtection AuditMode 





图 3-12 


网 络 防护 还 可 以 与 Firefox、Chrome 和 Opera 等 浏览 器 一 起 配合 使 
用 。 


3.4.7 减少 攻击 面 


减少 攻击 面 有 助 于 阻止 恶意 软件 试图 感染 计算 机 的 行为 。Windows 


Defender 中 减少 攻击 面 的 功能 由 许多 规则 组 成 ， 每 个 规则 都 针对 恶意 软 
件 和 恶意 应 用 通常 用 来 感染 计算 机 的 特定 行为 ， 例 如 : 


。 Office 应 用 程序 或 Web 邮 件 中 尝试 下 载 或 运行 文件 的 可 执行 文件 和 
脚本 ; 

。 经 过 代码 混 消 的 或 行为 可 疑 的 脚本 ; 

。 应 用 程序 当前 执行 的 行为 显著 异 于 日 党 工 作 中 所 发 生 的 行为 。 





触发 规则 后 ， 操 作 中 心 将 显示 一 条 通知 。 你 可 以 自 定义 通知 ， 例 如 
将 公司 详细 信息 和 联系 信息 添加 到 其 中 。 你 还 可 以 单独 局 用 规则 以 目 定 


义 监控 。 
3.4.8 Windows Defender 和 凭据 防护 


Windows Defender 凭据 防护 使 用 基于 虚拟 化 的 安全 性 来 隔离 密 铀 ， 
使 得 只 有 拥有 特权 的 系统 软件 才能 访问 它们 。 未 经 授权 访问 这 些 密 钥 可 
能 会 导致 凭证 咨 镭 攻击 ， 例 如 “ 散 列 传递 "或 “车 证 传递 ”。Windows 
Defender 凭 据 防 护 通 过 保护 NTLM 蜜 码 散 列 值 来 进一步 换取 Kerberos 服 
务 票 证 ， 以 及 将 应 用 程序 存储 的 凭据 作为 域 任 据 来 防止 这 些 攻 击 。 











当局 用 Windows Defender 和 凭据 防护 功能 后 ， 便 可 以 使 用 以 下 功能 和 
解决 方案 来 保护 凭据 : 硬件 安全 的 NTILM、Kerberos 和 Cred Man 能 够 利 
用 的 平台 提供 的 安全 功能 (包括 安全 局 动 和 虚拟 化 )。 图 3-13 所 示 是 关 
于 凭据 防护 的 说 明 。 











Credential Guard 


基于 虚拟 化 技术 的 安全 (VBS) 





可 信 平 台 模 块 (TPM) 
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3.4.9 Windows Defender/V 用 程序 防护 


威胁 形势 在 不 断 发 展 。 尺 管 黑客 正 忙 于 开发 通过 破坏 工作 站 来 破坏 
企业 网 络 的 新 技术 ， 但 网 络 钓鱼 攻击 仍 是 诱 使 企业 员工 深 陷 社 会 工程 学 
WENER ALm: 











Windows Defender 应 用 程序 防护 由 在 帮助 防御 旧 的 和 新 出 现 的 攻 
击 ， 以 帮助 企业 保护 员工 的 生产 力 。 独 特 的 硬件 隔离 方法 可 以 使 当前 的 
攻击 方法 失效 ， 从 而 破坏 攻击 者 的 计划 。 


3.4.10 Windows 事 件 转发 


Windows 事 件 转发 (Windows Event Forwarding, WEF) 人 允许 将 一 
台 计 算 机 指定 为 事件 收集 服务 器 ， 进 而 从 IT 和 安全 人 员 选 择 的 终端 接收 
所 有 事件 。 对 于 终端 上 发 生 的 任何 事件 ，Windows 都 可 以 生成 粒度 非常 


细 的 事件 日 志 ， 这 种 事件 记录 功能 是 目前 为 止 我 们 所 讨论 过 的 EDR 解 决 
方案 的 基石 ， 如 图 3-14 所 示 。 这 些 日 志 可 以 输入 SIEM 中 ， 进 而 可 以 对 
其 进行 实时 分 析 ， 并 且 可 以 做 出 相应 的 反应 或 提供 建议 。 


国 Event Viewer 
File Action View Help 


e| 2m Bim 


> D] EapMethods-RasChap ~ Operational Number of event: 


y EapMethods-RasTls 
> 国 EapMethods-Sim 
> 1) EapMethods-Ttls 
> D EDP-Audit-Regular 
> E] EDP-Audit-TCB 
> D] EmbeddedAppLauncher 
> [D] Energy-Estimation-Engine 
> (5) EnrollmentPolicyWebServi« 
> 1) EnrolimentWebService 
> 国 ESE 
EventCollector 
v E] Eventlog-Forwardingplugir 
目 Operational 

> E Fault-Tolerant-Heap 

> FederationServices-Deploy: 
E FileServices-ServerManagei 
> 15 FileShareShadowCopyProv 
国 FMs 
> 1) Folder Redirection 





Level Date and Time Source Event... Task Category 
Q Eror 7/22/2017 8:29:09 AM Eventlog-For... 102 None 
@ Error 7/22/2017 8:29:09 AM —_Eventlog-For... 102 None 
@ tror 7/22/2017 8:27:51 AM_ Eventlog-For... 102 None 
@ Eror 7/22/2017 8:27:51 AM Eventlog-For... 102 None 
@ Eror 7/22/2017 8:26:33 AM Eventlog-For... 102 None 
@ Eror 7/22/2017 8:26:33 AM 。 Eventlog-For.… 102 None 
@ Error 7/22/2017 8:25:15AM Eventlog-For... 102 None 
0 Error 7/22/20178:25:15AM Eventlog-For... 102 None 
@ Eror 7/22/2017 8:23:57 AM  Eventlog-For... 102 None 
@ Eror 7/22/2017 8:23:57 AM —_Eventlog-For... 102 None 
@ information 7/22/2017 8:22:41 AM Eventlog-For... 100 None 
@ Information 7/22/2017 8:22:41 AM —_Eventlog-For... 100 None 
@ information 7/22/2017 8:22:40 AM Eventlog-For... 100 None 
Q Eror 7/22/2017 8:22:40 AM Eventlog-For... 102 None 
@ Information 7/22/2017 8:22:40 AM Eventlog-For... 100 None 
A Warning 7/22/2017 8:22:40 AM  Eventlog-For... 101 None 











> Gl GenericRoaming @ Information 7/22/2017 8:22:40 AM _—_Eventlog-For... 100 None 
> D] glend @ Information 7/22/2017 8:22:40 AM Eventlog-For... 100 None 
> D GroupPolicy Q Error 7/22/2017 8:22:40 AM Eventlog-For... 102 None 
> (5 Help @ Information 7/22/2017 8:22:40AM_—_Eventlog-For... 100 None 
HomeGroup Control Panel @ Information 7/22/2017 8:22:40 AM_  Eventlog-For... 100 None 
> 国 HttpLog @ information 7/22/2017 8:22:40 AM _—_Eventlog-For... 100 None 
> E] HttpService @ Information 7/22/2017 8:22:40 AM 。 Eventlog-For... 100 None 
> E Hyper-V-Guest-Drivers @ Information 7/22/2017 8:22:40 AM _—_Eventlog-For... 100 None 
> E Idctrs Q Information 7/22/2017 822:40 AM 。 Eventlog-For... 100 None 
> E International @ Information 7/22/2017 8:22:40 AM _—_Eventlog-For... 100 None 
> [E Intemational-RegionalOpti OO | G) information 7/22/2017 8:22:40 AM —_Eventlog-For.. 100 None 
> E Iphipsve 7zmamanizaaauun aht Euentlnn Eae 10 hiana v 
> 国 Kassve Event 102, Eventlog-ForwardingPlugin x 








> 1) Kerberos-KDCProxy 
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3.4.11 Windows Defender 高 级 威胁 防护 


Windows Defender 高 级 威胁 防护 (Advanced Threat Protection， 
ATP) 是 一 项 安全 服务 ， 使 得 企业 用 户 可 以 检测 、 调 查 和 啊 应 企业 网 络 
上 的 高 级 威胁 。 


Windows Defender 高 级 威胁 防护 使 用 以 下 内 置 于 Windows 10 的 技 
术 ， 以 及 微软 强大 的 云 服务 。 


o 终端 行为 传感器 。 这 些 传 感 器 收集 并 处 理 来 自 操作 系统 的 行为 信和 号 
《例如 进程 、 注 册 表 、 文 件 和 网 络 通信 ) ， 并 将 这 些 传感器 数据 发 
送 到 云 上 私有 的 、 隔 离 的 Windows Defender 高 级 威胁 防护 实例 。 

e 云 安 全 分 析 。 利 用 大 数据 、 机 器 学 习 和 整个 windows 生 态 系统 〈 例 
如 Microsoft 恶 意 软 件 删除 工具 ) 、 企 业 云 产品 〈 例 如 Office 365) 
和 在 线 资产 (例如 Bing 和 SmartScreen UREL 信 誉 库 ) 将 行为 信号 转 
化 为 洞察 数据 ， 来 检测 结果 以 及 对 高 级 威胁 进行 建议 啊 应 。 

。 威胁 情 报 。 威 胁 情 报 由 Microsoft 漏 洞 猎人 和 安全 团队 生成 ， 并 由 合 
作 伙 伴 提 供 的 威胁 情报 加 以 增强 ， 这 使 得 Windows Defender 高 级 威 
胁 防 护 能 够 识别 攻击 者 所 使 用 的 工具 、 技 术 和 过 程 ， 并 且 在 从 收集 
到 的 传感器 数据 中 检测 到 这 些 威胁 的 时 候 生 成 警报 ， 如 图 3-15 所 
TR 0 


保护 终端 是 件 困难 的 事情 





性 能 安全 团队 A 成 本 
Aes AR 时 间 及 技能 多 种 解决 方案 及 本 地 技术 设施 
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钓鱼 攻击 ee 
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签名 
无 文件 攻击 一 一 一 - —] | 主机 入 侵 防 御 系 统 (HIPS) 
安全 漏洞 漏洞 利用 缓解 
反 病 毒 
HH Windows 
图 3-15 


本 服务 中 的 机 器 调查 功能 可 以 帮助 你 深入 研究 安全 警报 ， 并 了 解 潜 
在 漏洞 的 范围 和 性 质 。 你 可 以 提交 文件 进行 深入 分 析 并 接收 结 末 ， 而 无 
须 离开 Windows Defender 融 级 威胁 防护 主页 。 上 自动 化 的 调查 和 补救 功能 
通过 利用 各 种 检查 算法 来 应 对 攻击 事件 ， 从 而 减少 了 警报 数量 。 


Windows Defender 高 级 威胁 防护 与 计算 机 上 的 现 有 Windows 安 全 技 
术 配 合 使 用 ， 例 如 Windows Defender 病 毒 防 护 、AppLocker 以 及 Windows 
Defender 设 备 防护 ， 如 图 3-16 所 示 。 它 还 可 以 与 第 三 方 安全 解决 方案 和 
反 和 恶意 软 件 产品 一 起 使 用 。 


ioe zuene (@) Dp AMAN 


HARE Microsoft AM 
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一 直 在 线 的 启发 式 取证 及 专用 且 安 全 的 安全 信息 及 事件 管理 
和 行为 传感器 文件 引爆 Windows Defender ATP 
其 他 受 保护 的 终端 租户 














Windows Defender 高 级 威胁 防护 门户 
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3.4.12 ”保护 特权 身份 











特权 身份 是 具有 更 高 权限 的 账号 ， 例 如 域 管理 员 群 组 、 企 业 管 理 员 
群 组 、 本 地 管理 员 甚 至 高 权限 用 户 群 组 成 员 的 账号 。 特 权 号 份 也 可 以 是 
一 些 被 直接 授予 了 特权 的 账号 ， 例 如 被 授予 了 执行 备份 、 关 闭 系 统 权限 
的 账号 ， 或 者 在 本 地 安全 策略 控制 合 中 的 用 户 权限 分 配 节点 中 列 出 的 其 








他 权限 的 账号 。 





我 们 需要 保护 这 些 特权 身份 免 遭 潜在 攻击 的 侵害 。 其 中 最 重要 的 是 


了 解 号 份 是 如 何 被 盗 的 ， 然 后 就 可 以 制订 计划 来 阻止 攻击 者 盗 取 这 些 特 
DE tr o 


3.4.12.1 ”特权 号 份 如 何 被 盗 


通常 ， 当 企业 没有 保护 特权 身份 的 指南 的 时 候 ， 特 权 号 份 就 会 家 


盗 。 以 下 是 一 些 例子 。 


超出 实际 所 需 的 特权 。 最 常见 的 问题 之 一 便 是 用 户 拥有 了 超过 完成 
工作 职能 所 需 的 特权 。 例 如 ， 管 理 DNS 的 用 户 可 能 同时 也 是 AD 管 
理 员 。 通 冲 来 讲 ， 这 样 做 是 为 了 避免 配置 不 同 的 管理 级 别 。 但 是 ， 
如 宁 像 这 样 的 账号 被 盗 ， 攻 击 者 束 会 直接 获得 特权 。 

始终 以 特权 账号 登录 。 男 一 个 普遍 的 问题 是 ， 具 有 特权 的 用 户 可 以 
无 限期 地 使 用 这 个 账号 。 这 对 IT 专业 人 员 来 说 非常 音 见 ， 他 们 使 用 
特权 账号 登录 计算 机 ， 保 持 登 录 状 态 并 使 用 特权 账号 浏览 网 页 以 及 
使 用 电子 邮件 (上 典型 的 开工 作 职 能 ) 。 特 权 账 号 的 无 限期 持续 使 用 
使 得 该 账号 更 容易 受到 攻击 ， 并 且 增 加 该 账号 被 盗用 的 概率 。 
社会 工程 研究 。 大 多 数 黑客 会 首先 研究 一 个 企业 ， 然 后 对 其 进行 社 
会 工程 学 攻击 。 例 如 ， 攻 击 者 可 能 进行 电子 邮件 网 络 钓鱼 攻击 ， 以 
破坏 可 以 访问 企业 网 络 的 合法 账号 (但 不 一 定 是 特权 账号 )。 然 
后 ， 攻 击 者 使 用 这 些 合法 账号 进一步 对 企业 网 络 进行 其 他 研究 ， 以 
寻找 可 以 执行 管理 任务 的 特权 账号 。 

利用 被 授予 了 特权 的 账号 。 即 使 是 网 络 中 的 普通 用 户 账 号 〈 即 非 
特权 账号 ) ， 攻 击 者 也 可 以 利用 它 盗 取 上 共有 特权 的 账号 。 更 为 第 见 
的 方法 之 一 是 使 用 “ 散 列 传递 ?或 “ 令 牌 传递 攻击 。 



































当然 ， 攻 击 者 还 可 以 使 用 其 他 方法 来 寻找 和 盗 取 特权 账号 (攻击 手 
BHITH) 。 因 此 ， 让 用 户 使 用 仪 具有 最 小 权限 的 账号 以 降低 攻击 者 
获取 特权 里 份 的 概率 的 做 法 非 第 重要 。 








3.4.12.2 ”如 何 防止 攻击 者 盗 取 特权 身份 


你 可 以 使 用 表 3-1 中 摘 述 的 缓解 措施 来 减少 3.4.12.1 这 一 部 分 内 容 中 
提 到 的 特权 身份 的 攻击 面 。 


z 缓解 措施 


使 用 Windows PowerShell 为 所 有 管理 Windows 服务 器 以 及 管理 Windows 
服务 器 上 运行 的 应 用 和 服务 〈 例 如 Exchange Server 或 Exchange Online ) 
的 开 专业 人 员 分 配 刚 好 够 用 的 权限 









































超出 实际 所 
需 的 特权 











对 所 有 需要 特权 的 用 户 实施 实时 授权 ， 以 便 特 权 只 能 在 有 限 的 时 间 范 围 
内 使 用 。 
始终 以 特权 ~~ re 
本 地 管理 员 密 三 解决 方案 (Local Administrator Password Solution, 
账号 登录 ee , , cas 
LAPS) 虽然 简单 但 功能 强大 ， 许 多 企业 将 其 作为 服务 器 和 客户 端 系统 


的 实时 授权 管理 机 制 












































被 瓷 的 身份 | 实施 微软 高 级 威胁 分 析 (Advanced Threat Analytics, ATA) 以 帮助 检测 
以 及 散 列 传 | 本 地 服务 器 中 的 被 盗 特 权 身 份 。ATA 是 一 种 本 地 解决 方案 ， 可 用 于 管理 


























递 攻击 物理 和 虚拟 化 的 工作 负载 








3.5 724i 





本 章 介 绍 了 与 网 络 攻击 和 网 络 安全 相关 的 成 本 。 首 先 分 析 了 不 同 网 
络 安全 专家 关于 网 络 攻击 成 本 的 报告 。 其 中 大 多 数 事实 表明 ， 现 如 今 每 
次 攻击 使 受害 企业 损失 了 大 约 300 万 美元 。 美 国 发 生 的 攻击 次 数 较 多 ， 
且 平 均 损 失 较 高 ， 平 均 每 次 攻击 使 企业 损失 1100 万 美元 。 由 于 平均 损失 
这 一 数字 太 过 于 笼统 ， 因 此 本 间 和 仔细 研究 了 埃 森 哲 的 一 份 报 告 ， 并 列 出 
了 部 分 攻击 给 企业 带 来 的 损失 。 














埃 森 哲 公司 称 ， 给 企业 带 来 成 本 最 高 的 3 种 攻击 是 恶意 软件 攻击 、 
基于 Web 的 攻击 和 拒绝 服务 攻击 。 为 了 介绍 有 关 网 络 攻 击 和 网 络 安全 成 
本 的 更 多 信息 ， 本 章 将 这 些 成 本 分 为 两 关 : 攻击 所 造成 的 损失 和 保护 企 
业 免 受 攻击 的 费用 文 出 。 在 攻击 所 造成 的 损失 这 一 类 别 中 ， 本 章 详细 说 
明了 与 攻击 关联 在 一 起 的 损失 ， 分 别 是 生产 损失 、 经 济 损 失 、 品 牌 和 声 
誉 损失 、 数 据 损失 、 广 球 和 诉讼 、 恢 复 技术 造成 的 损失 。 在 保护 企业 免 
受 网 络 攻击 的 费用 文 出 这 部 分 里 ， 本 章 介 绍 了 企业 通常 使 用 的 基本 安全 
产品 ， 分 别 是 杀毒 软件 、 防 火 墙 、 入 侵 防御 系统 和 加 密 。 随 着 网 络 安全 
行业 的 发 展 ， 这 些 成 本 将 继续 增长 。 但 是 ， 应 该 指出 的 是 ， 无 论 是 网 络 
攻击 所 导致 的 损失 ， 还 是 为 网 络 安全 所 文 出 的 费用 ， 都 是 一 笔 昂贵 的 开 
文 。 




















在 第 4 章 中 ， 我 们 将 重点 介绍 金融 服务 威胁 的 情况 ， 并 了 解 针 对 最 
终 顾客 的 威胁 与 针对 金融 机 构 的 威胁 之 间 的 区 列 。 





尽管 金融 服务 行业 是 受到 严格 监管 的 行业 ， 但 许多 金融 机 构 已 经 开 
台 采 用 云 服 务 、 物 联网 AoT) 或 社交 媒体 等 新 技术 来 创建 新 的 业务 模 
型 并 吸引 新 客户 。 除 了 新 技术 ， 持 续 降 低 成 本 来 为 股东 提供 价值 也 是 金 
融 服 务 行业 追求 的 目标 ， 这 主要 是 通过 外 包 来 实现 的 。 尽 管 以 上 两 个 领 
域 对 于 确保 业务 增长 都 很 重要 ， 但 这 也 为 金融 机 构 带 来 了 新 的 威胁 。 任 
何 成 功 的 开 和 安全 部 门 都 需要 考虑 这 些 威 胁 。 





在 探究 金融 服务 威胁 态势 的 时 候 ， 需 要 区 分 面向 最 终 用 户 的 威胁 和 
针对 金融 机 构 本 里 的 威胁 。 本 章 将 对 金融 服务 行业 所 面临 的 这 两 类 威胁 
进行 介绍 。 


4.1 对 最 终 用 户 的 威胁 


针对 最 终 用 户 的 威胁 的 主要 目标 是 急 取 财务 记录 或 者 进行 财务 欺 
诈 。 最 终 用 户 面 临 的 威胁 可 以 分 为 以 下 几 类 ， 如 图 4-1 所 示 。 


a > 信用 卡 假冒 -Hi 大 号 其 这 
ee Ce e 


ree nae : 假托 


垃圾 搜寻 
(Dumpster 移动 欺诈 
Diving) 





4.1.1 (SAKIKIE 


信用 卡 坎 诈 是 指 威胁 行动 者 在 未 经 用 户 授权 的 情况 下 盗 刷 信 用 卡 以 
获取 财物 。 威 胁 行 动 者 主要 利用 不 安全 的 网 站 来 获取 他 们 实施 欺诈 所 需 
的 信息 。Equifax 公司 发 生 数据 泄露 事件 之 后 ， 信 用 卡其 诈 行 为 增加 了 
159%6。 图 4-2 按 类 型 展示 了 2014 年 发 生 在 美国 的 信用 卡其 诈 情况 。 





2014 年 美国 信用 卡其 诈 类 型 
其 他 


ee 在 线 (无 卡 欺诈 ) 





图 4-2 


4.1.2 信用卡 假 冒 申 请 欺诈 











信用 卡 假冒 申请 欺诈 是 指 威胁 行动 者 冒充 受害 者 申请 新 的 信用 卡 。 
威胁 行动 者 通常 会 利用 社会 工程 学 技术 以 预先 获得 申请 信用 卡 时 所 必需 
的 信息 ， 从 而 使 他 们 能 够 在 申请 信用 卡 的 过 程 中 顺利 提供 这 些 信息 。 为 
了 应 对 信用 卡 假冒 申请 欺诈 的 威胁 ， 金 融 机 构 也 开始 要 求 信用 卡 申请 者 
在 线 提交 相关 信息 的 同时 出 示 对 应 的 原始 文档 。 实 施 欺 诈 的 步骤 如 图 4- 
3 所 示 。 





威胁 行动 者 获取 到 冒充 受害 者 申请 信用 卡 时 所 需 的 所 有 信息 


威胁 行动 者 向 银行 提交 中 请 新 信用 卡 的 请 求 





威胁 行动 者 成 功 收 到 信用 卡 并 实施 非法 交易 


图 4-3 


4.1.3 EREKE 





无 卡 欺 诈 是 指 威胁 行动 者 在 在 线 交 易 过程 中 使 用 受害 者 的 信用 卡 ， 
而 不 是 物理 上 出 示 信 用 卡 。 威 胁 行动 者 通 冲 利用 社会 工程 学 技术 《例如 
垃圾 搜寻 、 网 络 钓鱼 或 编造 借口 ) 来 获取 信用 卡 卡号 和 有 效 期 。 为 应 
对 无 卡其 诈 的 威胁 ， 如 今 许多 商家 要 求 顾客 提供 验证 码 〈 半 国运 通 卡 除 
外 ) 。 验 证 码 是 信用 卡 背 面 的 3 位 数 代 码 。 但 是 ， 验 证 码 只 有 999 种 组 
合 ， 因 此 威胁 行动 者 可 以 不 断 地 在 多 个 商家 依次 尝试 交易 ， 而 且 通 常 内 
需 少量 的 交易 就 能 破解 出 正确 的 验证 码 。 实 施 欺 诈 的 步 又 如 图 4-4 所 


o 








Sl 


威胁 行动 者 获取 到 受害 者 的 姓名 、 信 用 卡 卡号 以 及 信用 卡 有 效 期 


威胁 行动 者 实施 尝试 性 的 交易 以 枚 举 验 证 码 


威胁 行动 者 枚 举 出 正确 的 验证 码 


威胁 行动 者 实施 非法 交易 








盗号 坎 诈 在 金融 服务 行业 非常 普遍 ， 这 种 威胁 是 指 威胁 行动 者 非法 
获取 受害 者 的 银行 账号 和 密码 。 与 无 卡 欺 诈 类 似 ， 这 种 威胁 通常 利用 社 
会 工程 学 技术 来 实现 。 在 盗号 欺诈 过 程 中 ， 威 胁 行动 者 一 般 会 仿冒 金融 
机 构 的 合法 网 站 ， 并 诱 使 受害 者 进入 该 网 站 。 通 常 ， 受 害 者 不 会 注意 到 
他 们 其 实 不 是 在 访问 官方 网 站 ， 因 而 继续 输入 了 用 户 名 和 和 密码。 实施 欺 
诈 的 步骤 如 图 4-5 所 示 。 








威胁 行动 者 搭建 仿冒 的 银行 官网 


威胁 行动 首 诱 峰 受 害 首 访 问 仿 书 的 银行 官网 


受害 者 在 仿冒 的 银行 官网 上 输入 账号 和 密码 


受害 者 被 重 定 向 到 真正 的 银行 官网 


威胁 行动 者 成 功 盗 取 到 受害 者 的 银行 账号 和 密码 





图 4-5 
415 信用卡 测 试 


此 类 威胁 是 指 威胁 行动 者 使 用 非法 获得 的 信用 卡 在 多 个 商户 进行 小 
额 区 易 的 尝试 ， 而 且 每 次 交易 的 数额 都 会 增加 一 点 ， 如 网 4-6 所 示 。 


威 肤 行 动 者 获取 到 
受害 者 姓名 、 信 用 
上 号 以 及 信用 卡 
有 效 期 


威胁 行动 者 发 起 小 





41.6 ”金融 木马 





威胁 行动 者 一 直 在 对 开发 和 部 普 金 融 木 马 持续 投入 成 本 ， 这 些 木马 
通常 用 于 对 客户 和 银行 进行 凭据 收集 ， 以 便 进行 欺诈 。 威 胁 行动 者 越 来 
越 多 地 将 POS 机 和 移动 应 用 作为 目标 。 赛 门 铁 克 称 ， 亚 意 软件 家 族 
Rammit 是 2016 年 最 活跃 的 金融 木马 ， 占 比 达到 了 38%。 其 次 是 
Bebloh (525%) 和 Zeus( 占 23%) 。 





以 下 是 金融 木马 的 目标 : 


。 盗 取 财务 记录 ; 

。 HÈU; 

。 伪造 金融 机 构 通信 

。 恶意 控制 金融 机 构 系统 。 


4.1.6.1 案例 





BackSwap 


BackSwap 不 依赖 复杂 的 进程 注入 方法 ， 而 是 依赖 于 窗口 消息 循环 
事件 。 该 技术 绕 过 了 许多 浏览 器 保护 机 制 。 恶 意 软件 分 发 主要 是 通过 发 
送 恶 意 电 子 邮件 来 完成 的 。 恶 意 电 子 邮 件 中 包含 了 经 过 混 消 的 Nemucod 
JavaScript 下 载 器 。BackSwap 安 装 事件 钩子 ， 以 监视 受害 者 何 时 访问 某 
个 特定 URL， 从 而 使 威胁 行动 者 能 够 确定 受害 者 何 时 进行 在 线 银 行 转 
账 。 一 旦 时 机 成 熟 ， 亚 意 攻击 代码 就 会 注入 浏览 器 。 





4.1.6.2 ”案例 Ramnit 





当 终 并 设备 感染 了 Ramnit 时 ， 终 端 将 持续 同 威胁 行动 者 的 命令 和 控 
制 (C2C) 服务 器 进行 通信 。 这 不 仅 会 报告 心跳 状态 ， 而 且 会 接收 配置 
更 新 。Ramnit 包 含 一 个 中 间 人 Web 注 入 模块 ， 该 模块 允许 它 在 受害 者 的 
终 疾 上 修改 访问 的 网 站 。 这 使 威胁 行动 者 能 够 修改 交易 内 容 并 添加 、 删 
除 或 修改 其 他 交易 。 图 4-7 显 示 了 Ramnit 的 攻击 流程 。 





Ramnit 建 立 和 C2C 服 务 器 的 通信 


Ramnit 接 收服 务 器 下 发 的 配置 文件 


受害 者 并 始 访问 银行 网 站 


Ramnit 修 改 网 站 内 容 并 且 受 害 者 实际 上 访问 的 是 被 修改 过 的 银行 网 站 


受害 者 在 被 修改 过 的 银行 网 站 上 输入 银行 账号 及 密码 





Ramnil 将 稚 获 到 的 账号 密码 传输 到 服务 器 


4.1.6.3 ”案例 Bebloh 








Bebloh 是 一 个 监视 和 捕获 银行 网 站 的 登录 凭据 的 金融 木马 ， 它 主要 
被 威胁 行动 者 用 于 垃圾 邮件 活动 中 。Bebloh 涉 及 的 领域 比较 广泛 ， 从 贷 
球 和 购物 折扣 到 具有 专业 主题 的 电子 邮件 都 有 涉及 ， 例 如 关于 人 力 资源 
或 法 律 的 电子 邮件 。Bebloh 的 茶 些 版 本 使 用 创建 倪 偶 进程 的 手段 ， 而 其 
他 版 本 则 在 执行 图 4-8 所 示 的 攻击 过 程 之 前 ， 将 其 自身 解压 缩 到 内 存 衬 
间 中 。 


受害 者 收 到 含有 压缩 包 作 为 附件 的 志 圾 邮件 


受害 者 打开 该 附件 


Bebloh 将 自己 复制 到 %temp% 目 录 


Bebloh 对 explorer exe 进 行 注 入 


Bebloh 在 关闭 之 前 将 自己 添加 到 自动 启动 项 里 


Bebloh 和 C2C 服 务 器 建立 通信 连接 


Bebloh 下 载 注意 软件 


受害 者 访问 银行 网 站 





Bebloh 捕 获 凭据 并 将 其 发 送 给 威胁 行动 者 


4.1.7 网络 钓鱼 


用 的 攻击 技术 之 一 。 造 成 


在 金融 服务 行业 中 ， 网 络 钓 鱼 仍 然 是 最 常 
能 造成 很 大 的 影响 ， 但 威胁 行 


这 种 情况 的 主要 原因 是 许多 网 络 钓鱼 攻击 


动 者 并 不 需要 对 此 进行 深入 的 准备 或 投入 更 多 的 资金 。 用 非 专业 人 士 的 
话 来 说 ， 网 络 钓鱼 攻击 所 需要 的 只 是 一 个 看 上 去 能 让 人 相信 的 电子 邮件 
模板 、 一 个 电子 邮件 地 址 列表 以 及 一 个 用 于 发 送 网 络 钓鱼 邮件 的 电子 邮 
件 服务 。 网 络 钓鱼 攻击 在 吴 份 盗用 以 及 金融 欺诈 方面 有 诸多 不 同 的 变 

化 ， 因 此 它 也 是 一 个 金融 服务 部 门 重点 关注 的 安全 问题 。 应 对 网 络 钓鱼 
攻击 的 重要 性 显而易见 ， 这 一 观点 在 2014 年 Gartner 的 新 闻 稿 中 得 到 了 很 
好 的 印证 。 





2013 年 针对 网 络 钓鱼 攻击 受害 者 的 身份 盗 贸 欺诈 造成 美国 银行 和 
信用 卡 发 行 机 构 损 失 了 约 12 亿 美元 。 


联邦 存款 保险 公司 (Federal Deposit Insurance Corporation, FDIC) 
对 维护 美国 金融 体系 的 信心 负责 。FDIC 在 其 网 站 上 对 网 络 钓鱼 一 词 的 
定义 如 下 。 


术语 “网 络 钓 鱼 ”( 犹 如 钓 取 机 密 信息 那 般 是 指 涉及 欺诈 性 地 获取 
和 使 用 用 户 的 个 人 信息 或 财务 信息 的 骗局 。 


采 例 一 一 “需要 你 立即 采取 行动 ” 





威胁 行动 者 利用 先前 泄露 的 个 人 数据 问 金 融 机 构 的 大 量 客户 发 动 了 
网 络 钓鱼 活动 。 威 胁 行动 者 为 进行 网 络 钓鱼 攻击 而 进行 了 相关 准备 ， 例 
如 复制 了 银行 网 站 、 开 局 了 和 攒 据 收 集 器 。 经 验 更 丰富 的 用 户 以 及 安全 专 
家 可 能 会 及 现 更 多 的 有 异 第 迹象 ， 例 如 该 域名 是 在 过 去 5 天 内 注册 的 、 访 
域名 的 注册 人 是 在 内 华 达 州 拉 斯 维 加 斯 的 一 家 货架 公司 以 及 该 恶意 网 站 
上 的 文字 有 许多 语法 错误 。 威 胁 行 动 者 占用 户 发 送 电 子 邮件 ， 告 知 他 们 
发 生 了 潜在 的 数据 泄露 事件 ， 并 要 求 他 们 立即 采取 行动 。 威 胁 行动 者 要 
求 用 户 通 过 邮件 里 看 似 安全 的 URL 登录 金融 机 构 网 站 。 图 4-9 所 示 是 发 
送 给 大 量 用 户 的 网 络 钓鱼 电子 邮件 的 截图 。 








亲爱 的 XX X 


近期 我 们 的 银行 官网 遭遇 了 黑客 攻击 。 保 护 顾客 的 账号 及 资金 安全 对 我 们 而 言 是 最 重要 的 事情 ， 
因此 我 们 特 与 你 取得 联系 ， 希 望 你 立即 重 置 自己 的 账号 密 但 。 


目前 政府 相关 部 门 正在 帮助 我 们 处 理 此 次 安全 事件 ， 他 们 协助 构建 了 一 个 安全 的 重 置 密码 的 网 
站 ， 而 无 须 你 钊 银行 柜台 执行 线 下 操作 。 请 使 用 本 邮件 中 的 URL 来 重 置 密码 。 与 此 同时 ， 为 保 
护 你 的 账号 安全 ， 在 重 置 密码 过 程 中 你 需要 提供 以 下 信息 : 


-身份 证 号 

人 

-家 庭 住址 

-电话 号 但 

ARIUS LMR 
-网 银 用 户 名 及 密码 


我 们 非常 重视 你 的 账户 安全 ， 因 此 我 们 希望 你 能 在 收 到 本 邮件 后 的 5 个 工作 日 内 完成 密码 重 置 操 
作 。 如 果 你 需要 任何 支持 与 帮助 ， 请 通过 安全 专用 热线 与 我 们 取得 联系 : XXXXXX 
安全 URL: XXX X 





| 
感谢 你 的 支持 与 配合 


XXX 
金融 反 欺诈 检测 及 调查 部 
XXX 
图 4-9 


4.1.8 假托 


除了 网 络 钓鱼 活动 以 外 ， 假 托 是 金融 服务 行业 中 男 一 种 经 常 被 用 到 
的 社会 工程 学 搁 术 。 威 胁 行 动 者 通过 欺骗 受害 者 的 方式 获得 特权 数据 。 
假托 通常 使 用 一 些 驴 局 ， 以 便 把 威胁 行动 者 包装 成 值得 信赖 的 人 。 威 胁 
行动 者 可 以 采用 的 策略 有 很 多 ， 最 种 用 的 方法 之 一 是 直接 给 受害 者 打 电 
话 ， 假 装 是 问卷 调查 公司 的 员工 ， 然 后 同 受 害 者 提出 一 系列 问题 。 





























4.1.9 垃圾 搜寻 








垃圾 搜寻 也 称 为 垃圾 清理 ， 是 一 项 非常 古老 的 社会 工程 学 技术 。 这 
征 指 威胁 行动 者 通过 翻 看 受害 者 垃圾 箱 来 有 发现 有 价值 的 信息 的 行为 。 许 
多 用 户 会 把 他 们 收 到 的 来 自 公 司 的 陈旧 信件 放 进 垃圾 箱 ， 这 其 中 包括 银 
行 发 来 的 信件 。 威 胁 行动 者 经 党 能 通过 这 种 方式 找到 组 织 结 构图 、 公 司 
政 朱 文档 以 及 采购 历史 记录 。 








4.1.10 ”移动 欺诈 


对 金融 机 构 来 襄 ， 手 机 网 银 是 一 种 新 的 欺诈 载体 ， 并 且 许 多 业务 部 
门 都 在 同 最 终 用 户 提 供 类 似 的 服务 。 移 动 欺 诈 是 指 威胁 行动 者 利用 移动 
平台 的 优势 获取 信息 或 直接 实施 欺诈 。 现 在 ， 许 多 金融 机 构 已 经 意识 到 
移动 欺诈 的 增加 ， 并 且 已 经 在 其 移动 应 用 中 引入 多 因素 里 份 认证 
(Multi-Factor Authentication, MFA) 。 实 施 移动 欺诈 对 威胁 行动 者 而 
言 很 简单 ， 最 常用 的 技术 是 对 合法 移动 应 用 程序 进行 重 打包 ， 然 后 想 办 
法 把 恶意 版 本 的 应 用 程序 分 发 给 最 终 用 户 。 











4.2 ”对 金融 机 构 的 威胁 


除了 最 终 用 户 会 面临 威胁 外 ， 金 融 机 构 本 身 也 面临 风险 。 对 金融 机 
构 的 威胁 可 以 分 为 图 4-10 所 示 的 几 类 ，。 


we ; 


图 4-10 








4.2.1 ATMA} 


尽管 安全 厂商 和 操作 系统 提供 商 持 续 在 安全 方面 进行 投资 ， 但 
ATM 攻击 仍 在 增加 。 这 主要 是 因为 ATM 使 用 的 安全 控制 措施 比较 老 
旧 。 到 目前 为 止 ， 许多 ATM 都 运行 在 Windows XP 或 Windows 7 操作 系统 
上 ， 这 些 操作 系统 提供 的 安全 控制 措施 “例如 终 端 检测 和 啊 应 ) 非常 有 
限 。 尽 管 在 欧洲 由 于 引入 了 芯 斤 银行 卡 使 内 存 抓 取 这 一 经 典 威胁 的 数量 
减少 ， 因 而 攻击 趋势 有 上 所 减缓 ， 但 就 全 球 整体 而 言 ，ATM 攻 击 每 年 仍 
在 持续 增加 。 威 胁 行 动 者 有 以 下 两 种 方式 来 执行 ATM 攻 击 。 








。 通过 偷 来 的 钥匙 或 播 锁 获得 对 ATM 的 物理 访问 权限 。 一 旦 能 够 从 
物理 上 访问 到 ATM， 威 胁 行动 者 就 能 将 攻击 代码 植 入 其 中 。 

。 通过 对 金融 机 构 实施 复杂 的 攻击 而 入 侵 ATM 网 络 。 许 多 金融 机 构 
都 允许 远程 连接 到 ATM 并 进行 文件 传输 和 执行 命令 。 


4.2.2 POS 


ATM 攻击 和 POS 攻击 本 质 上 很 相似 ， 但 是 威胁 行动 者 采取 的 方法 
有 所 不 同 。 这 样 做 的 原因 是 ，POS 设 备 是 为 便于 消费 者 在 零售 商店 、 银 
行 或 保险 分 支 机 构 使 用 信用 卡 而 设计 的 。 这 些 设 备 几 乎 没有 物理 访问 控 
制 措施 。 因 此 ， 威 胁 行动 者 可 以 在 没 人 注意 的 情况 下 悄悄 将 恶意 代码 注 
入 这 些 POS 设 备 中 。 








4.2.3 拒绝 服务 


拒绝 服务 攻击 通常 用 于 掩盖 更 大 的 金融 欺诈 活动 。 威 胁 行动 者 试图 
使 IT 和 安全 部 门人 员 变 得 忙碌 ， 然 后 进行 更 大 的 金融 欺诈 。 





DDoS 攻击 可 以 包括 以 下 内 容 : 


。 攻击 银行 官网 ， 使 最 终 用 户 无 法 登录 ; 
。 攻击 电信 运营 商 ， 使 最 终 用 户 无 法 和 客服 取得 联系 ; 
。 攻击 金融 机 构 网 络 ， 使 他 们 无 法 与 ATM 和 POS 设 备 进行 通信 。 


4.2.4 勒索 软件 


尽管 勒索 软件 是 一 种 跨行 业 的 威胁 ， 但 在 金融 服务 行业 中 尤为 严 
重 ， 原 因 在 于 WannaCrypt 以 及 Petya 的 大 规模 爆发 将 对 全 球 经 济 产 生 重 
影响 。 当 金融 机 构 因为 勒索 软件 而 无 法 运营 时 ， 受 到 影响 的 不 仅 是 最 
终 用 户 ， 政 府 也 会 受到 影响 ， 当 攻击 目标 是 一 个 国家 或 地 区 的 重要 银行 





时 更 是 如 此 。 
4.2.5 ”敲诈 

当 金融 欺诈 失败 时 ， 威 胁 行动 者 通常 会 转 而 进行 敲诈。 他 们 不 会 轻 
言 放弃 ， 而 是 试图 敲诈 金融 机 构 ， 威 胁 说 如 果 不 支付 一 定 的 费用 ， 他 们 
就 会 将 最 终 用 户 的 数据 或 系统 漏洞 公之于众 。 
4.30 4 

针对 金融 服务 行业 的 攻击 技术 多 种 多 样 ， 了 解 针对 最 终 用 户 的 威胁 


与 针对 金融 机 构 的 威胁 之 间 的 区 别 非 和 重要。 本 半 通 过 实用 的 方法 介绍 
了 每 个 威胁 的 关键 内 容 。 





第 5 章 将 重点 介绍 网 络 钓鱼 、 垃 圾 邮件 以 及 金融 诈骗 中 用 到 的 技 
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第 5 章 ， 利 用 网 络 钓 鱼 、 垃 圾 邮件 以 及 金融 
诈骗 急 取 数据 和 资金 


在 网 络 安全 威胁 当中 ， 网 络 钓 鱼 、 垃 圾 邮件 以 及 金融 诈骗 引起 了 用 
户 、 企 业 组 织 以 及 网 络 安 全 公司 和 执法 机 构 的 注意 。 本 章 将 揭 开 这 些 威 
胁 的 神秘 面纱 ， 并 详细 解释 这 些 威胁 发 生 的 过 程 、 使 用 到 的 软件 以 及 如 
何 从 用 户 那 里 鳃 取 人 金钱 和 数据 。 网 络 钓鱼 可 以 在 很 多 行业 里 发 生 ， 是 许 
多 企业 面临 的 持续 性 的 威胁 。 本 章 将 介绍 网 络 钓鱼 攻击 是 如 何 发 动 的 ， 
并 讨论 一 些 现实 生活 中 具名 昭著 的 网 络 钓鱼 攻击 案例 。 最 后 ， 本 章 还 将 
介绍 垃圾 邮件 ， 并 讨论 它 是 如 何 被 用 来 骗取 金钱 的 ， 以 及 垃圾 邮件 的 危 
险 性 。 本 章 内 容 将 通过 以 下 两 大 主题 进行 呈现 : 








。 网 络 钓鱼 ; 
。 垃圾 邮件 。 


5.1 网 络 钓鱼 


网 络 钓鱼 是 互联 网 中 众多 的 古老 陷阱 之 一 ， 它 最 早 可 以 追 调 到 个 人 
计算 机 和 电子 邮件 刚 开 始 普及 的 时 代 。 网 络 钓鱼 是 一 种 网 络 攻击 技术 ， 
攻击 者 通过 发 送 号 称 来 自 某 个 知名 企业 的 电子 邮件 的 方式 来 收集 受害 者 
的 敏感 信息 。 不 过 ， 网 络 钓鱼 也 有 多 种 形式 ， 除 了 收集 敏感 信息 之 外 ， 
还 可 用 于 其 他 目的 ， 例 如 说 服 旱 无 戒备 之 心 的 人 同 攻 击 者 汇 蒜 。 网 络 多 
鱼 有 别 于 其 他 形式 的 网 络 攻击 ， 攻 击 者 首先 要 伪装 成 可 信任 的 








组 织 或 个 人 来 获取 受害 者 的 信任 。 根 据 网 络 钓鱼 目标 的 不 同 ， 攻 击 
者 用 来 编造 成 为 可 信 组 织 或 个 人 的 内 容 会 有 所 人 不同， 例如 税务 机 关 、 银 
行 、 学 校 、 高 级 管理 人 员 、 朋 友 甚 至 家 人 。 为 了 说 得 受害 者 的 信任 ， 网 
络 钓鱼 者 可 以 将 目 己 伪装 成 任何 组 织 或 个 人 。 网 络 钓鱼 一 词 是 双关 语 ， 
与 钓鱼 类 比 ， 钓 鱼 者 将 鱼饵 扔 入 水 中 ， 如 有 果 鱼 咬 了 鱼饵 则 会 被 鱼 钩 捕 
获 ; 在 网 络 钓鱼 中 ， 受 害 者 类 似 于 鱼 ， 而 受害 者 所 信任 的 组 织 或 个 人 则 
为 鱼饵 。 当 受害 者 咬 住 鱼饵 时 ， 他 们 就 被 捕获 了。 如 今 ， 网 络 钓 鱼 的 目 
标 也 变 得 多 种 多 样 。 大 多 数 网 络 钓鱼 攻击 都 将 骗取 私人 信息 作为 目标 ， 
例如 实施 网 络 钓 鱼 以 骗取 受害 者 的 网 络 银行 或 者 敏感 系统 的 登录 账号 。 
为 一 个 第 见 的 目标 是 通过 癌 受 害 者 索取 钱财 的 方式 来 直接 鳃 取 资 金 。 刁 
份 盗 用 也 是 网 络 钓鱼 的 一 种 第 见 目 标 ， 在 这 种 情况 下 ， 攻 击 者 希望 可 以 
获得 基于 受害 者 的 一 些 信 息 ， 以 便于 进一步 角 取 受害 者 的 身份 信息 ， 被 
盗 的 号 份 信息 可 用 于 后 续 的 网 络 钓鱼 攻击 。 以 上 便 是 网 络 钓鱼 的 一 些 党 
见 的 目标 。 
































多 年 来 ， 网 络 钓鱼 攻击 如 浪 淹 般 给 用 户 造 成 了 一 次 义 一 次 的 沉重 打 
击 。 最 早 的 网 络 钓 鱼 浪 漳 之 一 是 一 个 所 谓 的 尼日利亚 王子 骗局 。 在 这 个 
骗局 中 ， 攻 击 者 向 受 害 者 发 送 电 子 邮 件 ， 声 称 自己 是 尼日利亚 王子 ， 并 
且 从 其 父母 那里 继承 了 巨额 遗产 。 但 是 ， 他 因为 东 种 情况 无 法 直接 接收 
这 笔 遗 产 ， 所 以 需要 寻找 可 以 帮助 他 接收 遗产 的 志愿 者 。 挥 入 这 个 陷阱 
的 受害 者 通常 会 被 要 求 同 攻击 者 的 账户 里 转 一 笔 账 ， 写 称 是 处 理 汇 入 受 
害 者 银行 账户 的 巨额 球 项 而 产生 的 手续 绩 。 不 过 ， 受 害 者 并 不 能 如 愿 以 
偿 ， 他 们 会 一 直 僻 不 停 地 要 求 转账 ， 直 到 受害 者 发 现 这 是 个 骗局 为 止 。 














为 一 次 网 络 钓 鱼 浪 漳 的 发 生 伴随 着 一 些 知 名 公众 人 士 的 亲密 照片 被 
公之于众 。 在 很 多 情况 下 ， 这 些 丑 闻 事 件 的 责任 都 转移 到 了 不 安全 的 云 
服务 提供 商 和 上。 这些 名 人 声称 他 们 的 云 服 务 提 供 丙 未 能 保护 其 账户 免 
受 黑 客 攻击 。 然 而 ， 在 事件 发 生前 ， 有 不 少 攻 击 者 向 名 人 发 送 网 络 钓鱼 
电子 邮件 ， 骗 取 他 们 的 云 平 台 登 录 账号 。 骗 取 到 名 人 的 登录 信息 后 ， 这 
些 照片 自然 也 就 被 次 并 且 被 公之于众 了 。 











Avast 报 告 称 ，2016 年 年 底 ， 网 络 钓鱼 电子 邮件 数量 出 现 了 激增 。 
该 公司 报告 称 ，2016 年 第 一 季度 检测 到 了 630 万 封 垃 圾 邮件 ， 其 中 网 络 
钓鱼 电子 邮件 激增 了 250%， 并 且 这 一 情况 贯穿 全 年 。 攻 击 者 也 改变 了 
他 们 的 战术 ， 现 在 他 们 把 攻击 目光 转移 到 了 越 来 越 大 的 目标 号 上 。 由 于 
网 络 钓鱼 是 一 种 在 前 几 年 被 忽视 的 威胁 ， 因 此 这 个 报告 令 人 格外 震惊 。 
仿佛 突然 间 就 有 报道 称 企 业 因 网 络 钓鱼 攻击 遭受 资金 损失 ， 而 银行 随即 
发 布 了 关于 网 络 钓鱼 电子 邮件 的 免责 声明 ， 执 法 机 构 也 开始 执行 寻找 网 
络 钓鱼 者 的 任务 。 为 了 更 好 地 理解 网 络 钓鱼 ， 让 我 们 看 一 下 它 的 演进 过 


程 。 
5.1.1 网 络 钓鱼 的 演进 过 程 


网 络 钓鱼 的 第 一 阶段 是 在 20 世 纪 90 年 代 未 和 21 世 纪 初 。 最 初 ， 网 络 
钓鱼 仅 被 归 类 为 电子 邮件 威胁 ， 因 此 没有 受到 太 多 关注 。 尼 日 利 亚 王子 
骗局 是 当时 最 流行 的 网 络 钓鱼 类 型 之 一 。 攻 击 者 利用 了 受害 者 的 贫 攀 ， 
并 用 虚假 信息 欺骗 了 受害 者 。 在 这 一 时 期 ， 发 生 了 首 个 针对 金融 机 构 的 
网 络 钓鱼 攻击 ， 目 标 是 一 个 名 为 E-gold 的 支付 系统 。2003 年 ， 发 生 了 男 








一 起 针对 零售 银行 的 网 络 钓鱼 攻击 。2004 年 ， 一 名 美国 青少年 被 捕 ， 因 
为 他 创建 了 一 个 要 求人 们 提供 登录 信息 的 网 站 ， 该 网 站 仿冒 了 美国 在 线 
(American Online, AOL) 一 一 一 个 被 大 量 互联 网 用 户 使 用 的 网 站 。 在 
这 一 年 的 晚 些 时 候 ， 还 有 许多 其 他 网 络 钓鱼 攻击 成 功 地 对 120 万 个 美国 
目标 实施 了 骗局 。 这 表明 黑客 们 在 对 常规 的 尼日利亚 王子 骗局 之 外 的 网 
络 钓鱼 形式 进行 试验 。 随 后 发 生 了 更 多 的 网 络 钓鱼 攻击 ， 并 且 每 年 将 数 
百 万 的 用 户 作为 攻击 目标 。 随 后 ， 网 络 钓鱼 者 更 新 了 他 们 的 攻击 机 制 |， 
其 中 一 些 攻 击 者 从 针对 未 知 目标 发 动 攻 击 ， 变 为 针对 一 些 已 知 目标 发 动 
攻击 。 攻 击 者 首先 盯 上 受害 者 公司 中 的 一 个 人 ， 对 其 进行 背景 调查 ， 然 
后 使 用 获得 的 信息 来 加 最 终 受 害 者 发 起 网 络 钓 鱼 攻 击 。 这 束 是 所 谓 的 鱼 
叉 式 网 络 钓鱼 〈Spear Phishing) 。2008 年 ， 网 络 钓 鱼 叉 发 生 了 一 次 飞 

跃 ， 出 现 了 一 种 新 型 网 络 钓鱼 攻击 ， 其 将 公司 首席 执行 官 作为 攻击 目 

标 ， 后 来 这 类 攻击 被 称 为 钴 钓 攻击 〈Whaling) 。 攻 击 者 向 首席 执行 官 
发 送 电 子 邮 件 ， 声 称 是 法 院 传 票 ， 以 此 敦促 首席 执行 官 将 其 打开 。 一 旦 
邮件 被 打开 ， 邮 件 就 把 键盘 记录 程序 下 载 到 受害 者 的 计算 机 上 。 在 被 大 
众 所 知 之 前 ， 大 约 已 经 有 2000 名 受害 者 。 

















2009 年 ， 有 报道 称 网络 钓 鱼 很 难说 利 ， 并 且 正 在 走向 死胡同 。 报 告 
称 ， 攻 击 者 向 人 们 大 量 发 送 邮件 的 成 本 远 远 超过 了 这 些 攻击 所 产生 的 回 
报 。 其 中 ， 微 软 也 在 宣称 网 络 钓鱼 无 利 可 图 的 公司 之 列 。 


2009 年 一 篇 有 关 人 微软 揭露 网 络 钓 鱼 说 利 能 力 的 文章 





网 络 钓鱼 者 们 真 的 赚 到 钱 了 吗 ? 还 是 说 网 络 钓鱼 是 个 无 利 可 图 的 业 
务 ， 骗 子 们 在 其 中 浪费 了 大 量 时 间 和 资源 ?微软 研究 人 员 科 马 元 : 赫 利 
(Cormac Herley) 和 过 尼 : 弗 阁 伦 西 奥 (Dinei Florencio) 最 近 发 布 了 一 
项 研究 一 一 “无 利 可 图 的 努力 : 网 络 钓鱼 如 同 公 地 悲剧 ”， 他 们 采用 了 一 
种 概括 网 络 钓鱼 者 赚钱 的 经 痢 学 方法 ， 并 指出 网 络 钓鱼 并 不 如 最 初 想象 
的 那样 有 利 可 图 。 


报告 基于 以 下 事实 : 许多 行 骗 者 都 使 用 相同 的 诈骗 故事 ， 因 此 降低 
了 其 有 效 性 ， 随 着 网 络 钓鱼 者 数量 的 增加 ， 网 络 钓鱼 可 能 带 来 的 收入 在 
减少 ， 网 络 钓鱼 似乎 没有 前 途 ， 常 见 的 用 于 网 络 钓鱼 的 故事 被 进行 了 分 
析 ， 许 多 潜在 受害 者 已 经 能 够 分 辨 一 封 电 子 邮件 是 不 是 网 络 钓 鱼 邮 件 ; 
大 多 数 行 驴 者 发 送 的 部 是 纯 文本 电子 邮件 ， 还 有 语法 错误 以 及 雷同 的 故 
事 ， 这 些 故事 的 目的 不 外 乎 都 是 上 暗示 受害 者 能 够 迅速 致富 ， 随 着 越 来 越 
多 的 相似 的 网 络 钓鱼 电子 邮件 浮 出 水 面 ， 识 别 网 络 钓鱼 攻击 对 任何 普通 
互联 网 用 户 来 说 都 变 得 非常 容易 。 

















但 是 ， 从 2011 年 起 ， 网 络 钓鱼 攻击 案件 数量 再 次 开始 上 升 。 到 2013 
年 ， 网 络 钓鱼 逐 渐变 得 失控 。 在 2012 年 至 2013 年 期 间 ， 被 骗 的 用 户 数量 
增长 了 87%， 达 到 约 4000 万 人 。 网 络 钓 鱼 者 不 再 使 用 内 容 干 篇 一 律 的 电 
子 邮 件 ， 而 是 使 用 不 同 的 方案 来 让 受害 者 按照 网 络 钓 鱼 者 的 要 求 行 事 ， 
仿冒 金融 机 构 的 网 站 有 所 增加 。 到 2016 年 ， 网 络 钓鱼 已 经 成 为 企业 和 执 
法 界 公 认 的 威胁 。 企 业 、 员 工 以 及 最 终 用 户 因 为 遭受 网 络 钓鱼 攻击 而 损 
失 了 大 量 金钱 。 银 行 储户 抱怨 被 假装 成 银行 工作 人 员 的 不 法 分 子 欺骗 





了 。PayPal 在 2009 年 的 时 候 还 宣布 网 络 钓鱼 不 值得 被 列 为 五 大 网 络 安全 
威胁 之 一 ， 但 该 公司 之 后 也 开始 同 用 户 发 出 谨防 网 络 钓鱼 攻击 的 警告 。 
企业 抱怨 说 ， 毫 无 戒心 的 员工 轻易 就 把 敏感 系统 的 登录 账号 发 了 出 去 ， 
进而 导致 敏感 信息 被 资 。 企 业 高 管 也 抱怨 他 们 的 电子 邮箱 被 恶意 人 员 入 
侵 。 网 络 钓鱼 已 然 成 为 备 受 关注 的 安全 威胁 。 网 络 钓鱼 所 攻击 的 是 企业 
中 难以 用 网 络 安全 软件 保护 的 目标 。 网 络 钓鱼 攻击 有 几 种 类 型 ， 我 们 将 
在 下 面 进行 讨论 。 





社会 工程 电子 邮件 





社会 工程 电子 邮件 使 用 的 策略 是 ， 让 目标 信任 自己 并 要 求 目标 在 短 
时 间 内 按 要 求 执行 某 些 操作 。 社 会 工程 电子 邮件 通常 不 使 用 恶意 软件 ， 
但 仍然 可 以 成 功 地 狠 取 用 户 的 敏感 信息 和 金钱 。 这 些 电子 邮 件 和 被 设计 得 
看 似 绝 对 值得 信任 。 与 恶意 电子 邮件 相 比 ， 社 会 工程 电子 邮件 的 优势 在 
于 ， 企 业 一 直 在 其 组 织 内 部 采用 安全 产品 以 防止 电子 邮件 中 的 恶意 软件 
执行 或 感染 主机 ， 但 却 没有 任何 安全 产品 能 够 保护 用 户 完全 免 受 社会 工 
程 学 的 影响 。 社 会 工程 师 在 说 服 目标 对 象 采取 一 些 在 正常 情况 下 不 会 采 
取 的 行动 方面 特别 有 才华 。 社 会 工程 师 可 以 说 服 目标 点 击 链接 、 发 送 赁 
据 ， 甚 至 是 转账 。 























受益 于 可 定制 的 HIML 电子 邮件 ， 社 会 工程 电子 邮件 的 成 功 概 率 
得 到 了 提高 ， 这 些 HIML 电 子 邮件 能 够 更 容易 使 目标 用 户 误 认为 电子 邮 
件 的 内 容 是 真实 的 。 图 5-1 所 示 古 骗子 们 使 用 的 HTML 电 子 邮件 的 一 个 示 
例 ， 这 些 邮 件 让 受害 者 误 以 为 它们 的 来 源 真实 可 靠 。 





从 邮件 截图 来 看 ， 用 于 网 络 钓鱼 的 邮件 使 用 了 真实 的 美国 元 工 部 的 
电子 邮件 格式 。 钓 鱼 邮件 的 目的 是 获取 包括 社会 保险 写 在 内 的 个 人 详细 
言 轧 。 在 数据 收集 结束 时 ， 攻 击 者 将 了 解 到 许多 与 受害 者 就 职 相 关 的 信 
恩 ， 这 些 信息 可 以 用 于 攻击 他 们 所 在 的 企业 。 例 如 ， 图 5-2 所 示 的 这 封 
电子 邮件 可 以 用 于 攻击 初级 雇员 ， 然 后 攻击 者 使 用 从 受害 者 那里 盗 取 的 
详细 信息 来 创建 新 的 电子 邮件 ， 进 而 骗取 登录 银行 系统 的 账号 ， 或 者 要 
求 受 害 者 立即 进行 转账 。 


Subject: Record Update. 

From: "Dept. Of Labor” <records@dol.gov=> 
Date: 1/18/2016 1:57 PM 

To: undisclosed-recipients:; 


This is an urgent request to update your employment record at the U.S Department of Labor. 
Update 


Thank you 


U.S Dept. of Labor 
Frances Perkins Building, 
200 Constitution Ave., NW, 
Washington, DC 20210 


图 5-1 


Hi <customer>, 


This is a follow-up regarding your package delivery: 


Tracking Number: Op2uYaSRiho 


The package contained in the above-mentioned shipment was not accepted at the destination address. 
Please contact your local UPS office and provide the printed delivery sticker, included in this email. 


Please note that in case of a failure to contact your local UPS office within 21 days the parcel will be 
returned to sender. 


Thanks so much for shipping with UPS. 


Ei Get the UPS My Choice app for Fecebook 


Download the UPS mobile app 





图 5-2 


图 5-2 所 示 是 一 封 预先 格式 化 好 的 网 络 钓鱼 邮件 ， 它 仿冒 了 人 们 平 
常 收 到 的 UPS 邮 件 的 格式 。 从 截图 可 以 看 出 ， 这 封 假冒 的 电子 邮件 原封 
不 动 地 复制 了 正 第 UPS 电 子 邮 件 的 所 有 细节 。 这 封 电 子 邮 件 间接 迫使 收 
件 人 点 击 带 有 运单 写 的 链接 ， 而 一 旦 受害 者 点 击 它 ， 那 么 受害 者 将 被 带 
到 一 个 假冒 的 UPS 网 站 ， 并 要 求 他 们 在 该 网 站 上 进行 登录 。 于 是 ， 受 害 
者 的 登录 账号 就 被 盗 了 。 

















图 5-3 所 示 是 一 封 PayPal 网 络 钓鱼 电子 邮件 的 示例 。PayPal 骗 局 已 经 
使 许多 受害 者 (包括 企业 和 个 人 〉 上 当 受 骗 。 该 电子 邮件 要 求 受害 者 更 
新 其 在 PayPal 上 的 信息 。 当 他 们 点 击 电子 邮件 上 的 链接 时 ， 他 们 将 被 之 
到 一 个 假冒 的 PayPal 网 站 ， 然 后 要 求 他 们 输入 登录 账号 。 一 旦 受害 者 照 
做 ， 攻 击 者 就 会 在 极 短 的 时 间 内 把 受害 者 账户 内 的 资金 转 走 。 而 那个 假 
冒 的 登录 页 面 却 始终 癌 受 害 者 显示 他 们 输入 了 错误 的 登录 信息 ， 然 后 要 
求 受 害 者 执行 一 个 漫长 的 流程 以 恢复 他 们 的 账号 ， 而 攻击 者 将 从 他 们 那 
里 收集 到 更 多 的 个 人 信息 。 








PayPal 
We need your help 


Your account has been suspended, as an error was detected in your informations. 
The reason for the error is not certain, but for security reasons, we have suspended 


your account temporarily 


We need you to update your informations for further use of your PayPal account. 


You are currently made disabled of : 


tut 


Adding a payment method Sending payment 


= Adding a billing address Accepting payment 


reply to We ar ble to respond to Inquiries sent to this address. For immediate answers 
jail. 


Please do not this email e unal 
Help Center by clicking "Heip" located on any PayPal page or em 


Copyright @ 2016 PayPal, Inc. All rights reserved. PayPal ls located at 2211 N. First St, San Jose, CA 95131 


图 5-3 


to your 


questions, visit ou! 





网 络 钓鱼 邮件 也 有 变种 。 在 2017 年 12 月 ， 有 一 封 新 版 本 的 网 络 钓 
鱼 邮件 通知 用 户 其 PayPal 账 号 下 有 一 些 无 法 确认 的 交易 。 邮 件 声称 ， 为 
安全 起 见 ， 用 户 应 当 登 录 其 账号 以 检查 这 些 交 易 。 但 是 ， 邮 件 中 的 链接 
指向 的 是 假冒 的 PayPal 网 站 ， 当 用 户 输入 登录 账号 后 ， 攻 击 者 将 把 资金 
从 受害 者 的 PayPal 账户 中 转 走 。 该 电子 邮件 经 过 精心 构造 ， 使 用 户 认 
为 它 确实 来 自 PayPal。 邮 件 的 发 送 地 址 显示 的 是 service@paypal. "EE 


以 让 许多 人 相信 它 就 是 来 自 PayPal。 但 是 ， 仔 细 检 查 就 会 发 现 ， 


Wa 











和 者 其 实 是 把 他 们 的 账号 名 


字 起 为 service@paypal.。 因 此 ， 对 于 这 封 发 件 方 并 非 是 PayPal 的 电子 邮件 ， 
即便 是 拥有 较 强 安全 意识 的 用 户 ， 也 可 能 会 因为 看 到 发 件 人 详情 中 包含 








service@paypal.* 的 字样 ， 就 认为 这 是 一 封 真实 合法 的 电子 邮件 。 图 5-4 


所 示 的 便 是 PayPal 网 络 钓鱼 邮件 的 新 变 体 。 


P PayPal 
We couldn't verify your recent transaction 


Dear Client 


We just wanted to confirm that you've changed your password. If you didn't make this change 





please check information in here. It's important that you let us know because it helps us prevent 
unauthorised persons from accessing the PayPal network and your account information 


We've noticed some changes to your unsual selling activities and will need some more 


information about your recent sales 


Verify information Now 


Thank you for your understanding and cooperation. If you need further assistance, please click 
Contact at the bottom of any PayPal page 


Sincerely 


PayPal 


图 5-4 











图 5-5 所 示 是 一 封 冒充 美国 国税 局 的 网 络 钓鱼 电子 邮件 。 在 2016 年 
和 2017 年 的 美国 税收 季 中 ， 发 生 了 多 起 盗 贸 信息 和 资金 的 案件 。 攻 击 者 
利用 纳税 季 的 混乱 状况 ， 同 许多 人 发 送 电子 邮件 ， 告 诉 他 们 账号 信息 不 
正确 。 邮 件 中 提供 的 链接 专门 用 于 从 受害 者 那里 贸 取 个 人 信息 。 








eee irs Identity Verification Service — Inbox 
on ae ajr- 
irs gov @ Today at 5:02 AM 
To: @kaspersky.com 





irs Identity Verification Service 


Dear Tax Payer, 

This is an automated email, please do not reply. 

We've notice your account information is missing or incorrect. 

We need to verify your account information to file your Tax Refund. 
Please follow this link to verify your information. 

Thanks, 


IRS Team 
2016 IRS All right reserved. 


IMPORTANT NOTE: If you receive this message in spam or junk it is a result of your 
network provider. Please move this message to your inbox and follow the instruction above. 


图 5-5 


5.1.2 f X AEE 


4 SC sth 2849 (Spear Phishing) 5 — Pr% LMZ RARE 
取 金 钱 和 敏感 信息 的 技术 。 对 普通 的 网 络 钓鱼 而 言 ， 同 一 封 网 络 钓鱼 邮 
件 会 发 给 很 多 人 ， 攻 击 者 全 面 撤 网 ， 以 此 尺 可 能 地 欺骗 更 多 的 受害 者 。 
但 是 ， 鱼 又 式 网 络 钓鱼 所 针对 的 目标 却 是 预先 精心 选择 过 的 。 攻 击 者 会 
对 目标 进行 大 量 研究 ， 以 确切 了 解 该 使 用 哪些 手段 来 迷惑 受害 者 。 鱼 又 
式 网 络 钓鱼 非常 危险 ， 因 为 它 可 以 利用 的 东西 非常 广泛 。 有 些 时 候 ， 针 
对 企业 员工 的 网 络 钓鱼 攻击 所 使 用 的 信息 来 自 企 业 的 内 部 威胁 者 ， 这 些 
内 部 威胁 者 知道 企业 中 员工 的 职级 和 职责 。 然 后 ， 攻 击 者 将 会 编造 一 封 
令 人 信服 的 电子 邮件 ， 试 图 使 受害 者 执行 某 个 操作 。 许 多 企业 因 其 员工 
遭 到 鱼 叉 式 网 络 钓鱼 电子 邮件 攻击 而 蒙受 资金 损失 。 图 5-6 所 示 是 鱼 叉 
式 网 络 钓鱼 电子 邮件 的 真实 案例 。 








Helio Stuart, 


Have you got a minute? | am currently tied up in a meeting. We need to facilitate a wire transfer to Indonesia for payment 
of an invoice Peter needs us 10 pay for today. 


Let me know so | can pass across further information to you. Thanks 


Sent from my iPhone 


图 5-6 





图 5-6 所 示 是 一 封 来 目 黑 客 的 鱼 又 式 网 络 钓鱼 电子 邮件 ， 该 邮件 知 
道 攻击 目标 的 名 字 及 其 工作 职责 。 此 外 ， 攻 击 者 还 知道 一 位 叫 斯 科 特 


(Scott) 的 高 级 职员 ， 他 能 够 授权 下 属 进行 付 区 操作 。 另 外， 攻击 者 还 
知道 该 企业 的 一 家 供应 商 或 承包 商 的 人 叫 彼 得 〈Peter) 。 从 电子 邮件 中 
可 以 看 到 ， 黑 客 直 接 提 及 受害 者 的 名 字 ， 并 且 告 知 受害 者 他 正在 开会 ， 
但 希望 能 紧急 进行 汇 蒜 。 受 害 者 很 容易 束 会 陷入 这 种 骗局 。 整 个 过 程 中 
包括 的 要 素 ， 例 如 真实 姓名 、 汇 天 的 紧迫 性 以 及 会 议 的 召开 ， 都 是 为 了 
促使 受害 者 迅速 接受 汇款 指示 。 该 邮件 中 的 “发 送 自我 的 iPhone”" 这 部 分 
是 有 意 为 之 的 ， 用 以 消除 受害 者 的 顾虑 ， 因 为 他 们 可 能 会 怀疑 为 什么 这 
封 电 子 邮 件 里 没有 企业 电子 邮件 签名 ,或 者 像 正式 邮件 那样 带 有 Scott 
的 头衔 信息 。 因 此 ， 这 种 鱼 又 式 网 络 钓 鱼 攻击 很 可 能 成 功 。 











图 5-7 所 示 是 为 一 封 鱼 叉 式 网 络 钓鱼 电子 邮件 。 在 这 封 邮件 中 ， 可 
以 看 到 攻击 者 伪装 成 跟 进 未 付 球 友 吧 事 项 的 银行 员工 。 在 网 络 钓 鱼 攻 击 
而 导致 的 资金 极 盗 的 方式 中 ， 回 发票 付款 这 种 方式 名 列 前 三 。 因 此 ， 这 
古 个 很 好 的 例子 ， 能 够 说 明 有 多 少 企业 在 辣 攻 击 者 付 球 。 在 邮件 中 ， 从 
受害 者 的 角度 来 看 ， 有 几 个 方面 增加 了 这 封 邮 件 的 可 信和 度 。 首 先 ， 电 子 
邮件 的 格式 正确 ， 很 可 能 与 斯 特 林 储蓄 银行 的 电子 邮件 格式 一 致 。 该 电 
子 邮件 还 有 银行 使 用 的 官方 电子 邮件 签名 ， 其 中 包含 了 正确 的 地 址 和 联 
系 方式 。 该 电子 邮件 还 直接 提 到 了 受害 者 的 名 字 。 邮 件 中 ， 友 件 人 提醒 
受害 者 有 一 笔 未 文 付 的 发 票 ， 以 及 告知 对 方 参阅 邮件 附件 中 的 文档 。 该 
MSA Hee SMR AGE, FEM Ma BREDA IER, RA 
附件 其 实 是 一 个 用 于 记录 键盘 操作 的 恶意 软件 。 无 论 是 哪 种 情况 ， 收 件 
人 都 将 陷入 是 否 打开 附件 的 两 难 境地 。 














From: Doug Will hrispid nline.de> 

Date: Wed, Apr 1a. "2016 at 11: AT AM 

Subject: Invoice for Lehigh University ; Attention: Controller 
To: j 





This is a private message for the Controller, Lehigh University. If it is not you, please ignore and discard it. 
Hi John Gasdaska, 


ce we have not received a contract termination letter, | am assuming that you might have unintentionally overlooked our invoice 
04/16000331799 (Unpaid). If you intend to bring to an end the account, just let us know. Be informed that early withdrawal 
penalties will apply. 


Refer to the attached document for billing information. 


Regards, 
Doug. 


Doug — 
sara vings Re ee eae 
wn oe querque,New Mexico,87110 
a poo 905-9901 ico <tr eo 


图 5-7 


在 图 5-8 中 ， 攻 击 者 采取 了 多 种 手段 来 确保 受害 者 相信 电子 邮件 是 
真 的 。 首 匈 ， 他 们 使 用 了 个 人 头像 图 片 。 这 对 证 受害 者 在 短 时 间 内 把 攻 
击 者 的 邮件 视 为 真实 邮件 而 言 有 极 大 的 帮助 。 这 封 邮件 直接 发 给 了 受害 
者 ， 此 外 ， 邮 件 开头 缺少 称呼 表明 发 件 人 是 级 别 较 高 的 人 员 ， 并 且 此 人 
对 雇员 粗鲁 无 礼 在 这 家 企业 里 人 尽 缘 知 。 邮 件 内 容 还 要 求 收 件 人 应 当 迅 

速 采取 行动 。 邮 件 也 没有 适当 的 签名 ， 这 进一步 证 明 发 件 人 具有 较 高 的 
权力 ， 并 且 不 是 一 个 很 有 礼貌 的 人 。 以 上 这 些 因素 将 使 得 受害 者 迫 
力 ， 将 员工 们 的 W-2 文 档 发 给 对 方 。W-2 文 档 可 用 于 实施 税务 方面 的 欺 
诈 。 如 果 受 害 者 发 送 了 所 有 员工 的 W-2 文 档 ， 那 么 发 送 这 封 电 子 邮件 的 
攻击 者 将 收获 颇 丰 。 











Urgent Request Inbox x = 回 


— tce 7:50 AM (1 hour ago) ~ X 


Svan nt you to send me the list of W-2 copy of employ wog 

no a aama n 2015, I need them in PDF file Se. As 

sighted RUN prepar e the lists and e 
jan 


图 5-8 


在 前 面 的 鱼 又 式 网 络 钓鱼 电子 邮件 中 ， 以 及 从 图 5-9 所 示 的 截图 中 

可 以 看 到 ， 他 们 都 有 一 种 共同 的 模式 。 首 先 ， 请 注意 ， 发 件 人 有 意 在 电 
子 邮 件 未 尾 添加 了 “发送 目 我 的 手机 ?字样 。 因 此 ， 即 使 是 缺少 适当 的 格 
式 以 及 官方 电子 邮件 签名 ， 这 封 邮件 看 上 去 似乎 也 是 可 信 的 。 攻 击 者 直 
接 提 及 收 件 人 的 名 字 ， 而 且 只 有 名 没有 姓 ， 这 上 暗示 邮件 是 在 匆忙 之 中 编 
写 的 。 邮 件 内 容 中 的 发 件 人 说 ， 有 一 些 关 于 付 球 的 附加 说 明 ， 并 且 必 须 
立即 进行 支付 。 为 了 增加 可 信 度 ， 发 件 人 说 他 们 将 在 一 个 小 时 内 与 收 件 
人 联系 ， 以 便于 了 解 付 球 进 度 。 而 这 也 意味 着 发 件 人 期 望 在 与 收 件 人 联 
ACH, RECA MAAS TK. Ale, Wee APE AZ PEAT 
支付 ， 并 且 相 信 过 会 儿 发 件 人 将 会 和 自己 做 进一步 的 沟通 。 高 级 职员 要 
求 他 们 的 下 级 执行 一 项 任务 ， 并 且 在 完成 任务 以 后 再 来 澄清 的 情况 并 不 
少见 。 因 此 ， 没 有 什么 可 以 阻止 受害 者 按照 邮件 中 的 要 求 行 事 。 如 今 ， 

攻击 者 很 容易 就 能 收集 到 有 关 员 工 的 信息 并 确定 谁 是 高 级 员工 ， 谁 是 初 
级 员工 。 诸 如 财务 总 监 或 者 董事 之 类 的 高 级 员工 可 以 轻松 地 向 诸如 会 计 
之 类 的 初级 员工 发 送 命令 ， 并 且 这 些 命令 将 坚 无 疑问 地 得 到 执行 。 有 许 
多 电子 邮件 抓 取 工具 可 以 从 社交 媒体 网 站 如 领 英 ) 收集 电子 邮件 ， 攻 
击 者 随后 可 将 其 用 于 鱼 又 式 网 络 钓鱼 攻击 。 





























Payment 


Please find enclosed vendor banking instructions for a payment that 
suppose to go out in the previous week. I need you to process it i 


Iam a bit busy now but will give you a call within the hour regarding the 
ent. 


5.1.3 ”商业 电子 邮件 犯 徘 或 鲸 钓 攻击 


商业 电子 邮件 犯罪 (Business E-mail Compromise, BEC) 也 被 称 
为 钙 钓 攻击 (Whaling) 或 老板 诈骗 (CEO Fraud) 。 这 是 一 种 鱼 叉 式 
网 络 钓鱼 ， 它 主要 涉及 入 侵 企 业 高 管 的 电子 邮件 账号 ， 然 后 用 入 侵 的 电 
子 邮箱 向 企业 高 级 员工 发 出 指示 ， 要 求 转移 大 量 资金 或 提供 敏感 信息 。 
这 种 网 络 钓 鱼 从 2013 年 起 开始 受到 关注 ， 美 国联 邦 调查 局 调查 了 2.2 万 
起 案件 ， 发 现 这 些 涉 事 企业 曾经 对 网 络 钓鱼 攻击 咯 之 以 异 。 在 2013 年 至 
2016 年 期 间 ， 回 美国 联邦 调查 局 报告 的 案件 累计 损失 高 达 16 亿 美元 。 攻 
击 者 似乎 对 所 有 行业 都 发 动 了 商业 电子 邮件 入 侵 攻 击 。 但 是 ， 他 们 对 房 
地 产 代 理 商 表现 出 了 格外 浓厚 的 兴趣 。 原 因 在 于 ， 一 方面 房地产 公司 数 
量 众 多 ， 因 此 可 以 入 侵 的 电子 邮件 账号 也 比较 多 ; 另 一 方面 ， 房 地 产 区 
易 过 程 涉及 巨额 资金 ， 这 对 攻击 者 也 有 很 大 的 吸引 力 。 攻 击 者 只 需 攻破 
目标 企业 通信 和 链条 中 的 一 个 邮箱 ， 在 获得 访问 权限 之 后 ， 就 能 暗中 观 赛 
企业 里 的 所 有 通信 并 决定 何 时 则 目标 发 送 电 子 邮件 ， 然 后 要 求 对 方 把 资 
金 转 到 某 个 账户 。 


























趋势 科技 是 数据 安全 和 网 络 安全 解决 方案 领域 的 领 芋 企 业 ， 其 对 
2017 年 至 2018 年 之 间 发 生 的 商业 电子 邮件 犯罪 事件 进行 了 分 析 。 在 当时 
的 分 析 中 ， 他 们 发 现 商 业 电 子 邮 件 犯罪 呈 上 升 趋势 ， 到 2018 年 年 万 ， 这 
些 攻击 总 共 造 成 了 90 亿 美元 的 损失 。 据 称 ， 商 业 电 子 邮件 犯罪 的 实施 主 
要 分 为 以 下 两 种 方式 。 


。 盗 贸 账 号。 网络 罪犯 使 用 键盘 记录 器 以 及 网 络 钓鱼 工具 包 ， 从 目标 
企业 的 员工 那里 禄 取 账 号 。 网 络 钓鱼 工具 包 是 一 个 可 用 于 进行 网 络 
钓鱼 的 工具 和 模板 的 集合 。 

社会 工程 电子 邮件 。 此 种 方式 下 ， 网 络 罪犯 们 对 目标 企业 发 动 攻 
击 ， 但 并 不 会 历 取 任何 账号 。 他 们 会 发 送 欺骗 性 的 邮件 ， 让 人 感觉 
这 些 邮件 像 是 来 目 公 司 财 务 部 门 的 高 级 员工 。 邮 件 将 直接 命令 初级 
员工 迅速 将 一 笔 球 项 转 入 茶 个 银行 账户 ， 理 由 是 癌 供 应 两 或 承包 商 
ATEK o 














在 对 成 功 得 手 的 商业 电子 邮件 犯罪 案件 中 的 电子 邮件 内 容 进 行 分 析 
时 ， 趋 势 科技 观 察 到 ， 大 多 数 邮 件 都 使 用 到 了 采购 订单 、 账 单 以 及 发 票 
来 让 受害 者 转账 。 他 们 利用 了 企业 中 的 一 个 缺陷 ， 那 就 是 高 级 员工 可 以 
命令 初级 员工 同 第 三 方 转账 ， 而 整个 过 程 不 会 受到 初级 员工 的 任何 质 
疑 。 这 在 许多 企业 中 是 一 种 常态 。 实 际 上 ， 在 邮件 里 包含 真实 的 采购 订 
单 、 账 单 以 及 发 票 ， 可 以 让 实施 商业 电子 邮件 犯罪 的 攻击 者 有 更 大 的 概 
率 让 受害 者 相信 该 请 求 是 真实 的 ， 并 且 必 须 完 成 转账 。 











使 用 恶意 软件 盗 急 账 写 


在 分 析 这 些 商 业 电 子 邮件 犯罪 得 以 成 功 实施 的 因素 时 ， 趋 势 科 技 发 


现 ， 有 两 球 恶 意 软件 被 广泛 使 用 。 以 下 是 这 两 球 软件 的 介绍 。 


1. Ardamax 


第 一 个 是 Ardamax， 它 是 一 个 售 价 为 50 美 元 的 软件 ， 可 以 让 网 络 罪 
犯 迅速 窍 取 目 标 用 户 所 使 用 的 账号 。Ardamax 是 一 个 键盘 记录 程序 ， 它 
安静 隐藏 在 计算 机 里 ， 上 暗中 记录 用 户 在 访问 菜 些 敏感 系统 例如 企业 版 
网 银 〉 时 输入 的 用 户 名 和 密码 。 这 球 软件 非常 易于 隐藏 ， 而 且 可 以 作为 
普通 电子 邮件 附件 发 送 。 该 软件 的 一 个 独特 之 处 在 于 ， 可 以 通过 修改 文 
件 扩展 名 的 方式 ， 例 如 修改 为 J 了 PG 或 PNG， 从 而 将 其 伪 闭 成 一 张 看 似 普 
通 的 图 片 。 图 5-10 所 示 的 是 将 Ardamax 伪装 成 JPG 文 件 的 设置 界面 。 








& Remote Installation Ea 


Appearance 


Installation folder on target computer: 
%COMMONAPPDATA %\, 











V| Append keylogger engine to file or another application 





File path: 
C:\Images\photo.jpal Browse 


< Back Next > Cancel Help 





图 5-10 


因此 ， 即 使 企业 员工 被 告知 不 要 打开 邮件 中 的 可 疑 附 件 ， 但 也 很 难 
要 求 员工 们 把 一 个 看 上 去 就 是 JPG 图 片 的 附件 视 作 恶意 软件 。 钓 鱼 电子 
邮件 的 内 容 通 常 很 诱 人 ， 只 有 少数 人 会 拒绝 打开 附件 。 附 件 一 旦 被 打 
开 ，Ardamax 就 开始 进行 远程 安装 ， 随 后 以 隐 喘 模式 运行 。 它 会 收集 键 








盘 融 击 记 录 、 用 户 访问 的 网 站 、 聊 天 平台 上 的 活动 、 复 制 到 瘟 贴 板 的 内 
容 ， 并 且 还 可 以 在 用 户 不 知情 的 情况 下 局 动 摄像 头 和 卖 苑 风 。 因 此 ， 之 
前 那些 截图 所 展示 的 邮件 中 的 附件 一 旦 被 打开 ， 那 么 后 续 攻 击 成 功 的 概 
率 将 会 非常 高 ， 因 为 攻击 者 将 通过 Ardamax 收 集 到 大 量 信息 。 


2. LokiBot 


趋势 科技 发 现 ，LokiBot 是 商业 电子 邮件 犯罪 攻击 中 另 一 款 常用 的 
软件 。 这 款 恶意 软件 可 以 窃取 敏感 信息 ， 包 括 加 密 货 币 钱包 密码 、Web 
浏览 器 中 存储 的 密码 、 电 子 邮 箱 中 的 联系 人 信息 ， 以 及 PuTTY 等 工具 中 
的 数据 。LokiBot 在 2017 年 跻身 卡巴 斯 基 和 危险 恶意 软件 清单 ， 该 恶意 软 














件 的 修改 版 本 ， 而 原始 版 本 是 由 另 一 个 黑客 在 蜡 网 上 发 布 的 ， 零 售 价 为 
300 美 元 。 作 为 领先 的 安全 产品 供应 商 ， 卡 巴 斯 基 警告 说 ，LokiBot 是 一 
种 危险 的 恶意 软件 ， 它 对 Android 手 机 也 一 样 能 造成 威胁 。LokiBot 极 具 
欺骗 性 ， 它 可 以 模拟 多 个 应 用 程序 的 界面 ， 从 而 导致 用 户 泄 圳 敏感 信 
恩 。 已 经 观察 到 的 是 ，LokiBot 可 以 模拟 WhatsApp、Skype 以 及 一 些 电子 
邮件 和 银行 应 用 程序 。 它 通过 假 的 应 用 程序 推送 通知 来 触发 用 户 与 伪造 
的 应 用 程序 界面 进行 交互 。 例 如 ， 它 可 能 会 发 送 一 条 伪造 的 银行 应 用 程 
序 转账 的 推送 通知 。LokiBot 其 至 可 以 让 手机 震动 一 下 来 吸引 用 户 的 注 
意 力 。 用 户 在 单 击 推 送 通 知 后 ， 将 进入 一 个 看 上 去 和 正常 银行 应 用 程序 
相同 的 登录 界面 。 一 旦 用 户 在 界面 中 输入 密码 ，LokiBot 就 会 自动 把 数 
据 发 给 网 络 罪 犯 ， 随 后 将 受害 者 银行 账户 里 的 资金 转 走 。 











除 此 之 外 ，LokiBot 能 够 打开 设备 上 的 浏览 器 并 打开 恶意 网 站 。 
LokiBot 还 会 发 送 垃圾 邮件 ， 它 通过 向 受害 者 手机 中 的 所 有 联系 人 发 送 
LokiBot 的 方式 进行 自动 传播 。 想 要 扼 载 LokiBot 的 和 演 试 通常 是 徒劳 的 。 
该 应 用 程序 在 最 初 安装 过 程 中 已 经 获取 了 管理 员 权 限 ， 并 且 用 户 极 可 能 
还 在 无 意 之 间 给 LokiBot 授 予 了 其 他 特殊 权限 ， 虽 然 这 对 某 些 应 用 程序 
来 说 很 正常 。 在 凶 载 LokiBot 的 时 候 ， 用 户 需 要 具有 设备 管理 员 权 限 才 
能 将 其 从 应 用 程序 列表 中 删除 。 但 是 ， 当 用 户 这 样 做 的 时 候 ，LokiBot 
会 转身 变 为 勒索 软件 ， 把 受害 者 手机 上 的 外 部 存储 进行 加 密 ， 然 后 锁定 
屏幕 ， 并 要 求 用 户 以 比特 币 的 形式 向 指定 的 钱包 地 址 发 送 100 美 元 。 对 
LokiBot 中 代码 的 研究 分 析 表 明 ， 其 背后 的 黑客 也 可 以 通过 远程 的 方式 
激活 勒索 软件 模块 。 研 究 这 个 比特 币 钱包 地 址 的 研究 人 员 发 现 ， 到 目前 
为 止 ， 黑 客 已 经 赚 取 了 价值 超过 150 万 美元 的 比特 币 。 图 5-11 所 示 为 
LokiBot 加 密 用 户 手 机 时 显示 的 内 容 。 























Your phone is locked for viewing child pornography. 
All your files are encrypted. Your phone is locked until payment of the fine of $ 100. 
You have 48 hours to pay the fine in case of refusal to pay all of your files will be handed over to the 
police. 
You have 48 hours to pay the fine in case of refusal to pay all of your files will be handed over to the 
police. 


our personal account, Bitcoin 
1G5FiCaaLKCfEk7seMyYFpX99PXgrUqk85 
ayment. 
After paying the fine, your phone automatically unlocks. 
Buy bitcoin. 


图 5-11 


5.1.4 ”网 络 钓鱼 电子 邮件 的 特征 


在 对 所 有 网 络 钓 鱼 电 子 邮 件 (包括 我 们 已 经 讨论 过 的 网 络 钓 鱼 电 子 
邮件 〉》 进 行 分 析 时 可 以 发 现 ， 这 些 邮 件 中 存在 如 下 模式 。 





。 紧急 性 。 网 络 钓鱼 者 希望 受害 者 迅速 采取 行动 ， 不 让 他 们 三 思 了 而 后 
行 。 这 也 是 攻击 者 说 他 们 需要 受害 者 立即 或 尽快 完成 菜 件 事 的 原 
因 。 这 让 受害 者 在 巨大 的 压力 之 下 ， 首 先 完成 攻击 者 要 求 的 操作 ， 
然后 再 去 寻求 邮件 中 的 发 送 者 的 澄清 。 网 络 钓 鱼 电子 邮件 的 语法 和 
格式 可 能 包含 错误 ， 但 是 收 件 人 承受 了 太 大 的 压力 ， 以 至 于 没有 察 
觉 到 其 中 的 疑点 。 一 些 陷入 PayPal 网 络 钓鱼 诈骗 陷阱 的 受害 者 在 事 
后 感到 十 分 惊讶 ， 因 为 邮件 里 多 次 重复 提 到 “更 新 你 的 信息 ”， 而 真 
正 的 PayPal 邮 件 却 极 少 这 么 做 。 

超 链 接 。 大 多 数 网 络 钓鱼 电子 邮件 都 不 提供 完整 的 原始 网 址 链接 ， 
而 是 使 用 超 链接 。 这 是 为 了 隐藏 超 链接 背后 真实 的 网 址 ， 这 些 网 址 
显然 不 是 来 自 正 规 的 公司 。 例 如 ， 本 章 讨 论 过 的 电子 邮件 里 只 有 起 
链接 文本 或 按钮 。 而 来 自 正 规 公司 的 电子 邮件 里 通常 在 超 链接 劳 边 
还 会 附 上 完整 的 原始 网 址 。 这 样 做 的 原因 在 于 ， 如 果 用 户 在 打开 起 
链接 时 直到 问题 ， 他 们 可 以 直接 把 原始 网 址 复制 粘贴 到 浏览 器 里 继 
续 访 问 网 页 。 

哇 件 。 许 多 网 络 钓 鱼 电 子 邮件 都 带 有 附件 ， 并 且 会 明确 告知 受害 者 
下 载 并 打开 它们 。 这 些 附 件 在 大 多 数 情况 下 都 用 于 传播 恶意 软件 。 
如 我 们 所 见 ， 有 些 键盘 记录 恶意 软件 〈 如 Ardamax) 可 以 以 任何 文 
件 格 式 发 送 ， 并 且 当 用 户 打开 该 文件 时 ， 它 就 会 自动 安装 。 

奇怪 的 发 件 人 。 和 钓鱼 电 子 邮 件 通 常会 在 发 件 人 的 详细 信息 方面 存在 
一 些 问 题 ， 要 么 域名 是 错 的 ， 要 么 用 户 名 不 对 。 在 我 们 讨论 的 某 些 
电子 邮件 中 ， 攻 击 者 机 了 小 聪明 ， 把 用 户 名 注册 为 似乎 是 正确 发 件 
人 的 电子 邮件 地 址 。 例 如 ，PayPal 钓 鱼 电 子 邮件 中 ， 发 件 人 把 用 户 
名 注册 为 support@paypal.*， 而 实际 的 发 件 人 的 电子 邮件 地 址 其 实 
是 另 一 个 域名 。 























5.2 ”垃圾 邮件 


坪 圾 邮件 是 指向 大 量 受 众 或 邮件 列表 中 的 大 量 用 户 发 送 的 未 经 请 求 
的 电子 邮件 。 志 圾 邮件 发 送 痢 在 过 去 被 认为 是 无 害 的， 或 者 仅仅 只 是 恶 
作 剧 。 例 如 ， 有 垃圾 邮件 告诉 人 们 应 当 在 特定 时 间 段 关闭 互联 网 ， 或 将 
特定 消息 转发 给 所有 联系 人 。 








垃圾 邮件 中 的 “ 拉 圾 ”(spam) 一 词 出 现 于 1993 年 ， 最 初 并 不 是 指 电 
子 邮件 ， 而 是 指 Usenet 新 闻 组 网 络 中 大 量 发 布 的 与 用 户 无 关 的 帖子 。 当 
时 发 生 了 两 起 此 类 事件 ， 其 中 之 一 是 在 许多 新 闻 组 中 出 现 了 一 篇 帖子 ， 
该 帖子 向 全 球 发 出 消息 称 耶 稣 即将 降临 ， 另 一 起 事件 是 在 更 多 的 Usenet 
新 闻 组 里 出 现 了 一 篇 有 关 终 止 绿卡 抽签 的 文章 。 令 人 讨厌 的 是 ， 通 过 电 
子 邮件 发 送 此 类 消息 的 想法 在 此 之 后 也 出 现 了 。1996 年 ， 网 络 管理 员 试 
图 阻止 垃圾 邮件 的 发 送 ， 他 们 创建 了 邮件 滥用 保护 系统 ， 并 维护 了 一 个 
IP 地 址 名 单 ， 其 中 所 列 的 IP 地 址 经 常 性 地 传播 垃圾 邮件 。 邮 件 服务 器 获 
得 这 个 名 单 后 ， 会 阻止 来 自 这 些 IP 地 址 的 电子 邮件 。 但 是 ， 这 个 系统 不 
是 很 有 效 ， 到 2000 年 垃圾 邮件 已 经 成 了 一 个 大 问题 。2003 年 美国 颁布 了 
《 反 垃 圾 邮件 法 案 》， 以 期 制止 垃圾 邮件 的 产生 。 垃 圾 邮件 发 送 者 随后 
因 传 播 垃圾 邮件 而 被 逮捕 、 指 控 和 处 罚 ， 大 多 数 被 定罪 的 人 已 经 向 大 量 
收 件 人 发 送 了 数 百 万 条 垃圾 邮件 。 














但 是 ， 在 21 世 纪 初 ， 垃 圾 邮件 已 经 变 得 更 加 强大 并 且 能 够 获 利 。 垃 
圾 邮件 不 再 只 是 用 来 蚌 乔 观众 ， 而 是 能 够 从 受害 者 那里 赚 取 钱财 。 在 
2011 年 2 月 的 《 连 线 》 杂 志 中 ， 美 国 加 州 大 学 圣地 亚 哥 分 校 的 一 名 学 生 
在 2008 年 进行 的 一 项 研究 被 广泛 引用 ， 它 表明 ， 尽 管 人 们 很 少 回复 或 与 
垃圾 邮件 的 互动 率 较 低 ， 但 二 圾 邮件 制造 者 每 天 仍然 可 以 获 利 7000 美 











元 。 尽 管 后 来 有 人 对 该 数字 表示 怀疑 ， 但 它 表 明 垃 圾 邮件 确实 已 经 成 为 
赚钱 的 手段 。 世 圾 邮件 从 那个 时 候 开 始 进 入 了 一 个 新 的 阶段 ， 它 被 用 来 
问 数 百 万 或 数 十 亿 的 收 件 人 发 送 广告 和 恶意 软件 。 接 下 来 我 们 将 分 析 垃 
圾 邮件 的 价值 链 ， 并 研究 垃圾 邮件 发 送 者 是 如 何 发 送 垃圾 电子 邮件 并 从 
中 赚钱 的 。 


5.2.1 垃圾 邮件 发 送 者 如 何 获 取 目 标 电 子 邮件 地 
址 


垃圾 邮件 发 送 者 拥有 一 个 巨大 的 电子 邮件 收 件 人 列表 。 有 人 可 能 想 
知道 这 些 电子 邮件 地 址 是 从 哪里 获得 的 。 答 案 是 可 以 利用 许多 资源 来 收 
集邮 件 地 址 。 首 先 ， 聊 天 室 里 的 用 户 有 可 能 会 把 上 自己 的 电子 邮件 地 址 发 
出 来 。 其 次 ， 攻 击 者 还 可 以 从 公开 提供 员工 或 客户 电子 邮件 地 址 的 网 站 
上 获取 这 些 电子 邮件 地 址 。 他 们 还 可 以 从 地 下 市 场 的 卖家 那里 获取 电子 
邮件 地 址 。 这 些 邮件 地 址 可 能 来 自 之 前 的 黑客 攻击 事件 或 者 来 自 专 门 收 
集 电 子 邮件 地 址 的 人 。 此 外 ， 由 于 企业 内 部 威胁 的 存在 ， 电 子 邮件 地 址 
也 可 以 从 企业 的 客户 列表 中 获得 。 企 业 的 一 些 部 门 ， 例 如 市 场 部 的 员工 
可 以 访问 客户 列表 ， 而 淘 求 快速 赚钱 的 员工 可 能 会 鳃 取 这 些 电子 邮件 地 
址 并 将 其 出 售 。 最 后 ， 攻 击 者 还 可 以 用 脚本 在 一 些 网 站 【例如 社交 媒体 
网 站 ) 上 收集 电子 邮件 地 址 。 














5.2.2 ”垃圾 邮件 发 送 者 如 何 赚钱 


发 垃圾 邮件 的 目的 在 于 赚钱 。 如 果 友 垃圾 邮件 是 一 项 无 利 可 图 的 冒 


险 ， 那 么 很 少 有 人 会 做 这 种 既 不 着 德 又 违法 的 事情 。 世 圾 邮件 发 送 者 通 
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过 多 种 方式 来 赚钱 ， 以 下 是 相关 介绍 。 
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许多 广告 都 是 通过 电子 邮件 向 收 件 人 推销 产品 ， 即 使 这 些 产 品 仅 能 
吸引 其 中 的 0.0001% 的 人 。 这 个 百分比 似乎 微不足道 ， 不 值得 为 之 付出 
努力 。 但 是 ，Cyberoam 估计 每 天 有 540 亿 封 垃 圾 邮件 被 发 送出 去 。 这 些 
电子 邮件 中 人 至少 有 459% 是 有 争议 的 药品 的 广告 。 在 这 种 情况 下 ， 尽 管 实 
际 上 会 与 垃圾 邮件 进行 交互 或 进行 购买 的 人 在 邮件 收 件 人 列表 中 占 比 极 
低 ， 但 这 一 小 部 分 收 件 人 却 是 垃圾 邮件 发 送 者 的 主要 收入 来 源 。 此 外 ， 
销售 这 些 产品 的 公司 也 会 癌 垃 圾 邮件 发 送 者 文 付 一 定 的 佣金 。 








有 时 ， 垃 圾 邮件 发 送 者 可 能 会 使 用 来 自 广 告 代理 公司 的 广告 代码 并 
从 三 告 的 每 次 展示 中 获得 报 柄 。 在 收 到 垃圾 邮件 的 数 百 万 人 中 ， 如 果 有 
一 定 比 例 的 人 打开 了 电子 邮件 ， 那 么 即使 收 件 人 没有 购买 任何 产品 ， 这 
个 动作 也 将 被 计 入 广告 展示 次 数 ， 最 终 记 圾 邮件 发 送 者 将 获得 一 些 收 
Xo 





5.2.2.2 ”恶意 软件 





一 些 垃圾 邮件 中 含有 恶意 软件 ， 这 些 恶 意 软 件 可 能 直接 出 现在 邮件 
附件 里 ， 也 可 能 通过 附件 自动 下 载 并 安装 在 受害 者 的 设备 上 。 然 后 ， 恶 
意 软 件 就 开始 收集 用 户 的 敏感 信息 。 除 了 键盘 记录 程序 可 以 收集 用 户 名 
和 密码 之 外 ， 其 他 恶意 软件 也 可 能 被 用 来 从 受 感 染 设备 的 联系 人 列表 中 








鳃 取 电 子 邮 件 地 址 和 电话 和 号码。 最 后 ， 这 些 恶 意 软件 还 被 用 于 向 受害 者 
勒索 钱财 。 以 下 是 一 些 可 以 通过 垃圾 邮件 传播 的 恶意 软件 的 示例 。 


5.2.2.2.1 Storm 


Storm 是 一 个 后 门 特洛伊 木马 ， 经 常 被 垃圾 邮件 使 用 。 这 款 恶 意 软 
件 最 初 于 2007 年 被 发 现 ， 当 时 它 通 过 垃圾 邮件 在 美国 和 欧洲 传播 ， 邮 件 

声称 在 欧洲 发 生 了 致命 的 风暴 。 许 多 垃圾 邮件 都 在 使 用 Storm， 并 且 给 
邮件 配 上 一 个 故意 编造 出 来 的 令 人 感到 震惊 或 意外 的 邮件 标题 。 


图 5-12 所 示 为 这 种 垃圾 邮件 的 一 个 示例 。 
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garefuse@zamboni.com has sent you a custom card from hallmark.com 


To get your Ecard, click on this link 
kainai com 


Greetings, 
kamiri com 





图 5-12 





这 些 或 是 新 奇 ， 或 是 令 人 感到 兴奋 的 邮件 标题 ， 骨 在 诱导 收 件 人 打 
开 包 含 Storm 和 恶意 软件 的 垃圾 邮件 。 打 开 电 子 邮 件 后 ， 受 害 者 将 看 到 附 
件 中 经 过 盆 六 的 Storm 和 恶 意 软件 ， 其 文件 名 通常 叫 作 “ 完 整 版 视频 “完整 





版 故事 ”“ 令 人 震 恢 的 照片 ” 单 击 此 链接 ”， 或 者 伪装 成 明信片 文件 。 当 
受害 者 下 载 并 打开 附件 后 ， 恶 意 软 件 就 会 安 疼 到 他 们 的 计算 机 中 。 在 这 
些 计算 机 里 ， 亚 意 软件 将 注入 一 些 攻击 代码 ， 以 便 问 更 多 的 人 发 送 包 含 
Storm 和 恶意 软 件 的 垃圾 邮件 。 如 此 一 来 ， 恶 意 软件 便 能 够 传播 到 许多 的 
计算 机 上 。Storm 可 以 使 其 感染 的 计算 机 成 为 僵尸 网 络 的 一 员 ， 也 可 以 
使 其 自身 获得 管理 员 权限 以 进一步 控制 受害 者 的 计算 机 。 








S.2:2:2.2 Triout 


Triout 于 2018 年 被 首次 发 现 ， 它 是 一 个 恶意 软件 的 框架 。Triout 可 以 
把 合法 的 安 早 应 用 程序 转换 为 间谍 软件 。 攻 击 者 可 以 从 非法 应 用 程序 网 
站 下 载 这 于 恶意 软件 ， 然 后 把 它 重 新 打包 为 普通 应 用 程序 ， 当 用 户 下 载 
并 安装 这 个 应 用 程序 的 时 候 ， 它 会 把 手机 中 的 其 他 应 用 程序 给 蔡 代 了 。 
通过 利用 受到 感染 的 应 用 程序 ，Triout 可 以 记录 电话 和 短信 、 访 问 照片 
和 视频 、 拍 摄 照 厂 或 玖 辑 视 频 ， 并 且 把 所 有 这 些 信 息 都 发 送 给 攻击 者 。 





根据 Bitdefender 的 一 篇 介绍 Triout 的 文章 ，Triout 具 有 以 下 功能 : 


记录 每 次 通话 〈 将 通话 录音 保存 为 媒体 文件 ) ， 然 后 将 其 与 受害 者 
手机 号 一 起 发 送 到 攻击 者 的 命令 与 控制 服务 器 〈incall3.php 和 
outcall3.php) ; 

将 受害 者 收 到 的 每 条 短信 《正文 和 短信 发 送 者 ) 发 送 到 攻击 者 的 命 
令 与 控制 服务 器 〈script3.php) ; 

能 够 隐藏 目 己 ; 

发 送 所 有 通话 记录 〈 来 电 人 姓名 、 来 电 号 码 、 通 话 日 期 、 通 话 类 
型 、 通 话 时 长 到 攻击 者 的 命令 与 控制 服务 器 ; 





。 每 当 用 户 拍照 时 ， 无 论 其 使 用 前 置 还 是 后 置 摄像 次， 照片 都 将 发 送 
到 攻击 者 的 命令 与 控制 服务 器 (uppc.php、finpic.php、 
orreqpic.php) ; 

。 EZ EA INGPS AA ip AK BI Wt SS Pe ARS BS 

(gps3.php) 。 


5.2.2.2.3 僵尸 网 络 


通过 垃圾 邮件 传播 的 僵尸 网 络 恶 意 软件 中 ，Storm 只 是 其 中 一 个 例 
子 。 人 僵尸 网 络 试图 感染 尽 可 能 多 的 计算 机 以 使 其 加 入 僵尸 网 络 ， 这 束 是 
为 什么 垃圾 邮件 是 传播 僵尸 网 络 恶意 软件 的 理想 方法 。 虽 然 Storm 被 评 
为 最 具 效率 的 僵尸 网 络 恶意 软件 ， 但 Zeus 同 样 也 是 一 种 极 具 效 率 的 恶意 
软件 。 





Zeus 在 2007 年 成 为 众人 瞩目 的 焦点 ， 它 主要 针对 微软 的 Windows 用 
户 。Zeus 感 染 Windows 计 算 机 ， 使 其 成 为 僵尸 网 络 的 一 部 分 ， 而 且 还 从 
受害 者 的 浏览 器 中 甸 取 网 银 数据 。 这 球 恶 意 软件 是 如 此 有 效 ， 以 至 于 据 
说 其 创造 者 决定 在 2010 年 束 提 前 退休 了 。 随 后 出 现 了 Zeus 伪 尸 网 络 恶 意 
软件 的 变种 ， 与 此 同时 ， 一 个 与 之 抗衡 的 工作 组 也 成 立 了 。 该 工作 组 由 
美国 法 警 和 技术 行业 合作 伙伴 组 成 ， 并 在 2012 年 成 功 关 闭 了 该 僵尸 网 
络 。 此 后 不 久 ， 又 出 现 了 新 的 变 体 ，FBI 成 立 了 工作 组 并 于 2014 年 再 度 
成 功 将 其 捣毁 。 然 而 ，2016 年 又 检测 到 了 该 恶意 软件 的 一 个 新 变种 ， 而 
且 这 次 感染 了 更 多 的 操作 系统 ， 并 且 专 门 鳃 取 加 拿 大 的 银行 、 领 完 的 电 
子 邮 件 服务 提供 了 商 、 知 名 社交 媒体 网 站 以 及 加 密 货 币 钱包 用 户 的 账号 。 
击败 Zeus 的 最 大 挑战 在 于 ， 它 的 源 代码 已 经 在 网 上 公开 发 布 ， 因 此 新 的 








变种 必然 将 持续 出 现 。 到 目前 为 止 ，Zeus 僵 尸 网 络 仍 在 使 用 当中 ， 也 就 
古 说 ， 就 算 当前 这 个 变种 僵尸 网 络 和 被 关闭 了 ， 黑 客 也 还 是 会 不 断 开 发 出 
新 的 变 体 。 


5.2.3 垃圾 邮件 的 特征 


以 下 这 些 特 征 可 以 用 于 识别 垃圾 邮件 。 


攻 名 。 最 快捷 的 办 法 是 通过 检查 收 件 人 列表 来 判断 电子 邮件 是 否 是 
垃圾 邮件 。 发 件 人 可 能 会 使 用 密 送 (bcc) 的 方式 把 垃圾 邮件 一 次 
性 发 送 给 许多 人 。 如 果 你 没有 出 现在 邮件 的 “ 收 件 人 ”列表 中 ， 那 么 
你 很 有 可 能 出 现在 密 送 列表 里 ， 因 此 很 有 可 能 这 是 一 封 垃圾 邮件 。 
称呼 。 正 规 合 法 的 电子 邮件 会 在 邮件 里 明确 地 提 到 你 的 名 字 ， 但 垃 
圾 电子 邮件 通常 含糊 其 秤 ， 例 如 只 是 说 “ 苯 敬 的 客户 ”或 “你 好 ”。 
语法 错误 。 大 多 数 垃 圾 邮件 都 有 语法 错误 或 拼写 错误 。 正 规 公 司 发 
送 的 邮件 通常 经 过 了 民 好 的 编辑 ， 以 便 将 语法 错误 降 至 最 低 ， 而 垃 
圾 邮件 发 送 者 对 于 语法 则 没有 那么 用 心 。 

签名 。 正 规 公 司 通常 会 把 公司 签名 包含 在 邮件 里 ， 并 且 还 提供 电话 
号 码 以 便 用 户 与 他 们 取得 联系 ; 而 垃圾 邮件 发 送 者 却 几乎 不 使 用 电 
子 邮 件 签名 ， 如 果 用 了 ， 也 不 会 把 电话 号 人 码 放 上 去 。 











当 你 在 邮件 中 搜寻 到 以 上 特征 时 ， 最 好 不 要 和 发 件 人 联系 ， 或 者 下 


载 邮件 中 的 任何 附件 。 图 5-13 所 示 是 一 封 垃 圾 邮件 的 截图 。 请 注意 观察 
邮件 中 使 用 的 称呼 类 型 ， 以 及 引用 的 那个 未 知 站 点 ， 还 有 就 是 邮件 缺少 
详细 的 电子 邮件 签名 。 


I’m reaching out because I’m experiencing a few minor errors while browsing your site. As a Digital Marketing manager, I know how frustrating 
things like this can be, so I wanted to reach out to see if I can help. 


Mainly, I’m experiencing issues loading your site on my mobile device. This is a fairly common issue, especi ially since this April, when Google 
sated por sh rew vanding sites with a speedy mobile user experience, md punishing oa se with bulky, lagging designs samt aren’t sui ited to small, 


T 50 percent of people browsing the internet with their phones, that’s a fair share of the market 
Based locally in Libertyville, IL, my team has over 23 years of experience developing e elastic ee mane! can be viewed on any device. We’re also 
Google Partners and have received m any ace olades throughout the years. Our first client was a little startup company c called “E-bay”. We call be 


happy to jump on a call with you to review these problems and more to help your brand gei the best online visibility possible. 


What day this week works best for 


Regards, 


图 5-13 
5.3 ”小 结 


网 络 钓 鱼 、 欺 诈 以 及 垃圾 邮件 被 广泛 用 于 从 用 户 那 里 鳃 取 数 据 和 人 金 
钱 。 本 章 分 析 了 攻击 者 所 使 用 的 搁 术 以 及 他 们 如 何 从 用 户 那 里 鳃 取 金钱 
和 数据 。 此 外 ， 我 们 重点 分 析 了 网 络 钓 鱼 和 诈骗 ， 因 为 这 些 攻 击 给 全 球 
经 济 造成 了 重大 损失 。 本 章 酉 理 了 网 络 钓鱼 的 演进 过 程 ， 回 顾 了 网 络 钓 
鱼 发 展 过程 中 的 起 伏 。 引 起 用 户 、 供 应 商 、 公 司 组 织 、 律 师 事务 所 以 及 
网 络 安全 行业 共同 关注 的 最 具 威 胁 的 网 络 钓鱼 类 型 是 商业 电子 邮件 犯 
罪 ， 本 章 深 入 研究 了 这 种 类 型 的 网 络 钓鱼 攻击 ， 并 且 分析 了 几 封 发 送 给 
受害 者 的 真实 钓鱼 邮件 。 本 章 还 介绍 了 在 禄 取 金 钱 和 数据 的 过 程 中 第 用 
的 两 种 恶意 软件 一 一 Ardamax 和 LokiBot。Ardamax 是 一 款 键盘 记录 软 
件 ， 它 可 以 伪装 成 各 种 文件 格式 并 作为 附件 发 送 给 受害 者 。LokiBot 则 
是 一 个 狐 独 多 变 的 威胁 ， 它 既 可 以 鳃 取 数据 ， 也 可 以 把 受害 者 设备 上 的 























数据 进行 加 密 以 实施 融 诈 勒索 。 本 半 还 介绍 了 鱼 叉 式 网 络 钓 鱼 ， 这 是 一 
种 高 级 形式 的 专门 针对 特定 人 和 群 的 网 络 钓鱼 。 我 们 展示 并 分 析 了 几 个 真 
实 的 鱼 又 式 网 络 钓鱼 的 示例 。 我 们 从 本 章 讨 论 的 这 些 网 络 钓鱼 电子 邮件 
里 ,识别 出 了 大 多 数 网 络 钓 鱼 攻 击 部 存在 的 共同 模式 。 


最 后 ， 本 章 还 介绍 了 垃圾 邮件 。 尽 管 大 多 数 垃 圾 邮件 只 是 令 人 讨 
大 ， 并 没有 什么 危险 ， 但 在 某 些 情况 下 ， 垃 圾 邮件 也 会 让 收 件 人 其 露 于 
各 种 网 络 安全 威胁 之 中 。 垃 圾 邮件 不 仅 限 于 广告， 茶 些 垃圾 邮件 中 还 可 
能 含有 恶意 软件 。 因 此 ， 在 本 章 中 ， 你 了 解 了 各 种 类 型 的 网 络 钓鱼 攻 
击 、 与 网 络 钓 鱼 有 大 的 骗局 ， 例 如 鱼 叉 式 网 络 钓 鱼 和 商业 电子 邮件 犯 
罪 ， 以 及 识别 它们 的 方法 。 本 章 还 讨论 了 识别 此 类 攻击 时 所 过 到 的 挑 
战 ， 并 且 介 绍 了 垃圾 邮件 所 造成 的 危害 及 其 工作 原理 ， 以 及 攻击 者 如 何 
利用 垃圾 邮件 获 利 。 





在 第 6 革 中 ， 我 们 将 详细 介绍 各 种 恶意 软件 ， 以 便 建 并 自己 的 防御 
WE o 





POR WARF 





攻击 者 使 用 恶意 软件 在 主机 系统 上 执行 恶意 活动 ， 包 括 破坏 公司 网 
络 、 盗 用 身份 和 泄露 数据 。 随 着 互联 网 的 发 展 ， 如 果 离 开 计 算 机 ， 企 业 
就 无 法 正常 运营 ， 这 一 现状 增加 了 利用 恶意 软件 开展 网 络 攻击 的 攻击 者 
数量 。 亚 意 软 件 可 以 以 脚本 或 可 执行 代码 的 形式 出 现 ， 它 们 的 类 别 有 很 
多 种 ， 但 最 广为人知 的 是 计算 机 病毒 和 计算 机 木马 。 如 今 ， 攻 击 者 已 不 
再 需要 自己 研究 漏洞 或 开发 恶意 软件 ， 他 们 可 以 通过 蜡 网 来 采购 。 当 
前 ， 对 有 幕后 资助 的 攻击 者 和 有 组 织 犯罪 集团 使 用 的 复杂 恶意 软件 的 需 
求 在 不 断 地 增加 ， 如 图 6-1 所 示 。 








商业 恶意 软件 











国家 间谍 活动 


高 级 持续 性 威胁 


恶意 软件 趋势 





传统 成 胁 


业务 敏捷 度 /速度 
图 6-1 


随 看 恶意 软件 开发 拉 术 的 进步 ， 出 现 了 多 态 恶 意 软 件 并 产生 了 新 的 
风险 。 多 态 恶 意 软件 是 一 种 运行 一 次 之 后 就 再 也 不 会 运行 的 恶意 软件 ， 











这 使 杀毒 软件 提供 商 很 难 阻止 这 类 恶意 活动 。 在 早期 ， 攻 击 者 发 现 了 利 
用 恶意 软件 攻击 金融 服务 行业 机 构 的 优势 一 一 一 旦 恶意 软件 到 达 了 目标 
计算 机 ， 攻 击 者 就 可 以 从 受害 者 账户 非法 转移 资金 到 由 攻击 者 控制 的 账 
户 。 除 此 之 外 ， 由 于 ATM 与 公司 内 网 相连 ， 攻 击 者 可 以 将 重点 放 在 利 
用 恶意 软件 攻击 ATM 上 。 通 过 本 章 的 学 习 ， 你 将 了 解 恶 意 软 件 的 类 
别 ， 并 深入 了 解 一 些 最 种 用 的 恶意 软件 家 族 ， 它 们 第 被 用 作 金 融 服务 行 
业 网 络 攻击 的 一 部 分 。 








6.1 恶意 软件 的 其 别 


了 解 攻击 者 在 网 络 攻击 中 利用 的 不 同 恶意 软件 类 别 是 极其 重要 的 。 
例如 ， 只 有 了 解 计算 机 病毒 和 计算 机 木马 之 间 的 差异 ， 才 能 构建 相对 应 
的 防护 功能 。 终 端 用 户 通常 认为 恶意 软件 仅 适 用 于 计算 机 ， 但 事实 是 恶 
意 软 件 还 会 影 啊 任 何 联网 的 设备 ， 这 包括 智能 手机 和 工业 设备 。 图 6-2 
所 示 为 恶意 软件 的 类 别 。 


间谍 软件 
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图 6-2 





根据 目标 的 不 同 ， 攻 击 者 可 能 会 使 用 特定 的 恶意 软件 家 族 或 恶意 软 
件 的 组 合 ， 因 此 建议 安全 团队 根据 网 络 攻击 链 构建 入 侵 指 标 
(Indicators of Compromise, IOC) 。 攻 击 链 描述 了 攻击 者 利用 恶意 软 
件 进 行 网 络 攻击 的 过 程 。 图 6-3 所 示 为 攻击 链 的 一 个 例子 。 





e 尽 可 能 多 地 了 解 目 标的 信息 





o 构建 或 选择 恶意 载荷 








e 将 武器 传送 到 目标 系统 









© 目标 系统 触发 恶意 载荷 时 ， 在 目标 系统 中 搜集 情报 






触发 


WW © 让 恶意 载荷 在 目标 系统 中 持久 化 


。 在 攻击 者 和 日 标 设备 问 建 立 命令 和 控制 通信 











o 执行 恶意 活动 〈 例 如 窃取 信息 ) 








图 6-3 


6.1.1 计算 机 病毒 





计算 机 病毒 是 最 第 见 的 恶意 软件 类 别 之 一 。 从 本 质 上 讲 ， 计 算 机 病 
毒 与 生物 病毒 非 第 相似 ， 两 者 的 特性 如 下 所 示 。 


。 生物 病毒 。 
o 由 被 蛋白 质 外 壳 包 围 的 DNA 组 成 ， 并 与 宿主 细胞 结合 。 
o 通过 衙 主 的 新 陈 代 谢 机 制 复制 自身 ， 尽 可 能 多 地 复制 并 感染 细 
胞 。 
o 不 能 在 宿主 细胞 外 存活 。 








计算 机 病毒 的 原理 是 将 自身 插入 计算 机 上 的 文件 和 进程 中 ， 以 执行 
恶意 操作 。 计 算 机 病毒 可 以 通过 修改 其 他 计算 机 程序 来 复制 自己 。 





。 计算 机 病毒 。 
o 由 存储 在 操作 系统 或 应 用 程序 中 的 一 组 指令 组 成 。 
o 在 牡 主 程序 执行 时 复制 目 身 。 
o 只 有 在 宿主 程序 执行 时 才能 感染 其 他 程序 。 








计算 机 病毒 可 以 感染 可 执行 文件 、 脚 本 、 文 档 ， 甚 至 引导 区 。 当 计 
算 机 病毒 能 够 感染 多 种 类 别 的 目标 文件 《如 可 执行 文件 和 文档 ) 时 ， 这 
种 类 型 的 病毒 通常 被 称 为 多 部 分 病毒 (Maultipartite Viruses) 。 








6.1.2 ”计算 机 蠕虫 


计算 机 蠕虫 是 一 种 可 以 目 我 复制 的 计算 机 程序 ， 能 够 在 网 络 中 迅速 
传播 。 计 算 机 螨 忠 和 计算 机 病毒 在 目的 上 是 相似 的 ， 其 最 大 的 区 别 是 计 
算 机 蜂 曰 在 网 络 传 揪 过程 中 不 需要 使 用 者 介入 。 攻 击 者 有 可 能 将 计算 机 
蠕虫 的 特征 与 计算 机 病毒 结合 起 来 。 最 突出 的 例子 是 1999 年 的 梅 丽 莎 病 
毒 (Melissa) 。 梅 丽水 病毒 通过 电子 邮件 传播 ， 邮 件 中 包含 了 一 个 隐藏 
看 宏 病 毒 的 Word 文 档 。 当 用 户 局 用 宏 时 ， 病 毒 将 被 注入 文档 ， 同 时 ， 
蠕虫 将 被 执行 ， 然 后 在 网 络 上 传播 ， 如 图 6-4 所 示 。 











| meee HH 














6.1.2.1 SQL Slammer 


2013 年 ， 美 国 银行 受到 一 种 以 Web 服 务 器 为 目标 的 蠕虫 的 攻击 ， 并 
导致 了 部 分 ATM 的 瘫痪 ， 该 蠕虫 后 来 被 称 为 SQL Slammer. SQL 
Slammer 利 用 了 SQL Server 和 昌 面 引擎 数据 库 中 的 缓冲 区 溢出 漏洞 。 当 
服务 器 被 感染 时 ， 蠕 虫 会 生成 一 个 随机 的 卫 地 址 ， 它 将 使 用 这 个 地 址 将 
目 己 分 发 到 使 用 了 未 打 补 丁 的 SQL Server 版 本 的 其 他 计算 机 上 。 


6.1.2.2 J02% ii E 
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击 。 通 常 ， 加 密 蠕 虫 以 未 打 补 丁 或 配置 错误 的 计算 机 为 目标 ， 对 其 数据 


WannaCry 


2017 年 5 月 ， 勒 索 软 件 WannaCry 在 全 球 范 围 内 爆发 ， 影 响 了 大 量 企 
业 。WannaCry 是 由 威胁 行动 者 团体 利用 加 密 蠕 虫 进行 的 一 种 勒索 软件 
攻击 ， 以 未 打 补 丁 的 Windows 计 算 机 为 目标 ， 利 用 SMBv1 漏 洞 对 其 进行 
攻击 。WannaCry 还 利用 了 “永恒 之 蓝 ? 漏 洞 〈EternalBlue) 进行 传播 ， 如 
图 6-5 所 示 。 然 而 ，WannaCry 的 攻击 很 快 就 被 中 断 了 ， 这 是 因为 安全 研 
究 员 马 库 斯 : 哈 钦 斯 (Marcus Hutchins) 注册 了 一 个 在 源 代码 中 找到 的 域 
名 ， 而 该 域名 正 是 WannaCry 的 终止 开关 。 
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上 在 个 人 计算 机 上 释放 勒索 软件 


® 
WannaCry [al | | 
如 何 利 用 





“永恒 之 蓝 ” 
漏洞 进行 传播 被 感染 ， 亿 并 木 被 加 密 
.发 送 加 密 密 负 O 
(s _ | 7 MALICIOUS SERVER 
© 
le] | | 
ETERNAL 被 感染 ， i 被 加 密 
( Bj 
Re 升级 ， 清 理 
未 打 补丁 的 个 人 计算 机 由 于 存在 “永恒 | 共享 文件 ， 打 补丁 的 PC 不 存在 “永恒 之 蓝 ” 
ie” Hale), Lae ae ee RE 漏洞 ， 因 此 不 会 被 勒索 软件 感染 。 
图 6-5 


6.1.3 ”特洛伊 木马 





特洛伊 木马 是 一 种 恶意 软件 ， 它 通过 欺骗 目标 来 达到 其 真实 目 
的 。“ 特 洛 伊 ?一 词 起 源 于 古 和 希腊 ， 古 希腊 人 制作 了 一 匹 巨大 的 木马 ， 木 
马里 暗藏 着 士 兵 ， 当 木马 一 进入 特洛伊 城 ， 士 兵 们 就 发 起 了 进攻 。 特 洛 
伊 木马 最 常见 的 传递 机 制 是 利用 社会 工程 学 技术 ， 如 欺骗 、 网 络 钓鱼 或 











鱼 又 式 网 络 钓鱼 。 与 计算 机 病毒 或 计算 机 蜂 虫 不 同 ， 木 马 通 常 不 会 注入 
文件 或 可 执行 文件 中 ， 也 不 会 像 计算 机 蠕虫 一 样 复 制 自 己 。 木 马 也 被 用 
于 拒绝 服务 攻击 。 木 马 可 能 会 执行 以 下 操作 : 





AMS Mass 
Dhim HPA) ; 
复制 机 密 情 报 或 敏感 数据 ; 
。 执行 有 害 操作 。 





在 许多 情况 下 ， 木 马 会 试图 打开 计算 机 上 的 端口 ， 为 攻击 者 建立 命 
令 和 控制 (Command and Control, C2C) 通信 ， 然 后 执行 非法 操作 ， 
如 图 6-6 所 示 。 


将 你 的 电子 银行 账号 信息 发 送 给 我 
A 位 于 德里 的 感染 
C 了 木马 的 受害 者 


这 是 我 的 自动 取款 机 密码 





这 是 我 的 Gmail 账 号 和 密码 


人 er sey ere 
M O O) 感染 了 木马 的 
将 你 的 Gmail 登 录 凭 据 发 送 给 我 受害 者 


图 6-6 





6.1.3.1 Bebloh 








Bebloh 是 一 种 网 银 木马 ， 攻 击 者 利用 它 来 贸 取 受害 者 的 登录 赁 据 ， 
拦截 受害 者 的 在 线 网 银 交 易 。Bebloh 在 网 银 木马 中 非常 流行 ， 它 能 够 在 
受害 者 登录 到 在 线 银行 门户 时 更 改 目 标 计算 机 上 显示 的 余额 。 为 了 实现 





这 一 点 ，Bebloh 利 用 了 浏览 器 中 间 人 攻击 (The Man-in-the-Browser 
Attack, MitBA) 技术 。Bebloh 通 常 隐藏 在 垃圾 邮件 中 的 恶意 PDF 文件 
中 ， 利 用 了 Adobe Reader 9.3 中 的 一 个 漏洞 ， 该 漏洞 导致 Adobe Reader® 
执行 过 程 中 骨 尝 并 将 恶意 代码 注入 系统 。Bebloh 最 早 于 2009 年 被 发 
现 ， 许 多 德国 银行 受到 了 影响 。 图 6-7 展示 了 Bebloh 的 攻击 链 。 


© 

= Shutdown-Befehl 
oo AV-Scann 
oa hi Endet nii te igs 
HD  Bebloh Delet Bebloh Link Autostart 
Fè -rom R 
RAM 

图 6-7 


6.1.3.2 Zeus 


5BeblohAW, BREN Be RIT AC, BAL 
上 银行 凭据 。Zeus 的 感染 力 非 常 强 ， 到 目前 为 止 ， 它 是 最 流行 的 银行 恶 
意 软 件 。Zeus 采用 模块 化 方法 开发 ， 易 于 隐藏 和 执行 ， 便 于 攻击 者 将 其 
整合 到 网 络 攻击 中 。Zeus 主要 以 垃圾 邮件 、 网 络 钓鱼 或 鱼 叉 式 网 络 钓 色 
的 形式 发 送 给 目标 。Zeus 利用 浏览 器 中 的 漏洞 执行 浏览 器 中 间 人 攻击 ， 
修改 受害 者 在 网 上 银行 的 交易 内 容 。Zeus 其 全 可 以 绕 过 多 因素 身份 认 
证 。 美 国联 邦 调查 局 称 ， 到 目前 为 止 ，Zeus 已 经 给 金融 服务 业 造 成 了 超 
过 1 亿美 元 的 损失 。 图 6-8 所 示 是 Zeus 的 攻击 链 。 




















金融 机 构 
命令 和 控制 银行 系统 


癌 将 恶意 广告 上 传 到 合法 的 欺诈 广告 服务 器 
@ 在 合法 网 站 上 发 布 恶意 广告 

© 用 户 访问 受 感染 的 网 站 

© 网 站 内 容 包含 到 恶意 涯 洞 利用 工具 包 的 重 定向 
© 用 户 被 重 定向 到 恶意 漏洞 利用 工具 包 

© 用 户 的 PC 被 攻击 ， 载荷 被 成 功 下 载 

O 木马 向 C&C 报告 新 的 机 器 人 

© C&C 向 木马 发 送 指令 

(3) 用 户 访问 金融 机 构 系统 

O 木马 报告 用 户 的 活动 

O C&C 通过 向 木马 发 送 命 令 来 操纵 用 户 的 银行 交易 
O 木马 操纵 用 户 的 银行 交易 

O 木马 向 C&C 报告 成 功 /失败 的 交易 





图 6-8 


6.1.4 Rootkit 


Rootkit 是 一 种 恶意 软件 ， 其 他 恶意 程序 可 以 利用 它 获 得 计算 机 的 系 
统 权限 。 攻 击 者 可 以 利用 系统 越权 漏洞 ， 或 者 在 获得 系统 权限 后 安装 
Rootkit。 一 旦 安装 了 Rootkit， 攻 击 者 就 可 以 远程 访问 计算 机 的 撒 层 系 
统 。 攻 击 者 还 可 以 借助 Rootkit 使 用 后 门 工具 来 修改 操作 系统 和 固件 ， 以 
隐藏 攻击 踪迹 。 这 些 后 门 工具 可 以 在 用 户 模式 或 内 核 模式 下 运行 。 








Torpig 





2005 年 首次 出 现 的 Torpig 结 合 了 银行 木马 、 僵 尸 网 络 和 Rootkit。 
Torpig 通 过 僵尸 网 络 传播 了 银行 木马 Mebroot， 该 木马 负责 和 取 银行 网 站 
的 登录 凭据 。Torpig 利 用 Rootkit 来 确保 它 不 会 被 杀毒 软件 检测 到 。 





6.1.5 ”间谍 软件 


攻击 者 在 不 了 解 攻 击 目标 时 ， 可 以 使 用 间 诬 软件 从 目标 计算 机 上 收 
集 信息 。 间 诬 软 件 在 计算 机 的 后 台 运 行 ， 其 传播 机 制 和 病毒 、 蠕 虫 、 木 
马 相 同 。 间 谍 软 件 通常 会 包含 木马 程序 ， 例 如 跟踪 受害 者 所 有 键盘 输入 
的 键盘 记录 程序 、 收 集 网 上 银行 凭据 的 银行 木马 程 友 或 执行 登录 和 凭据 收 
集 任务 的 密码 窍 取 程 序 。 图 6-9 所 示 为 间谍 软件 的 攻击 过 程 。 

















间谍 软件 计算 机 用 户 


1. 间谍 软件 感染 用 户 的 
计算 机 





2. 间谍 软件 收集 击 键 信息 、 
密码 和 屏幕 截图 


3. 问 恋 软件 定期 发 送 
收集 到 的 数据 到 间谍 
软件 的 数据 收集 代理 





4. 间谍 软件 数据 收集 代理 


图 6-9 


6.1.6 广告 软件 


“ 告 软件 是 一 种 在 目标 用 户 界面 上 显示 广告 的 恶意 软件 ， 通 常 被 用 
来 收集 目标 的 信息 ， 盛 其 是 有 关 其 互联 网 行为 的 信息 。 





6.2 恶意 软件 的 趋势 


攻击 者 变 得 越 来 越 老练 ， 企 业 越 来 越 难以 防御 ， 终 端 用 户 也 越 来 越 
难以 识别 。 尽 管 恶 意 软 件 及 其 家 族 并 不 新 鲜 ， 但 也 不 乏 新 的 攻击 和 利用 
技术 。 在 暗 网 上 ， 有 无 数 的 商业 恶意 软件 提供 丙 提 供 各 种 各 样 的 恶意 软 
件 服务 ， 如 下 所 示 。 


。 勒索 软件 : 平均 费用 在 250 一 300 美 元 。 

。 间谍 软件 : 一 个 简单 的 数据 锰 取 软件 大 约 需 要 10 美 元 。 

。 远程 访问 木马 : 价格 在 500 一 1000 美 元 。 

e ATM 恶 意 软 件 ， 由 于 一 台 ATM 可 以 存储 大 约 15 万 美元 ， 因 此 ATM 
恶意 软件 的 价格 也 很 高 ， 一 般 是 1500 一 3000 美 元 。 








除了 定制 的 恶意 软件 ，ATM 和 恶意 软件 是 蜡 网 中 最 帅 贯 的 恶意 软 
fs 








全 球 性 爆发 的 恶意 软件 〈 例 如 WannaCry 或 NotPetya) 已 经 对 全 球 经 
济 造成 了 严重 的 影响 ， 而 且 它 们 仅仅 只 是 针对 未 打 补 丁 的 计算 机 的 众多 
普通 恶意 软件 中 的 一 小 部 分 。 现 代 的 恶意 软件 已 经 成 为 一 种 严重 的 威 
胁 ， 而 依赖 特征 识别 的 传统 安全 解决 方案 却 难 以 应 对 。 现 代 的 恶意 软件 
不 仅 利用 了 和 零 日 漏洞 ， 还 具有 多 态 功能 。 多 态 恶意 软件 能 够 改变 自己 的 
特征 ， 使 得 仅 依赖 特征 识别 的 防 病毒 解决 方案 无 法 将 其 检测 出 来 。 据 微 














软 统 计 ，96% 的 恶意 软件 只 运行 一 次 ， 以 后 就 再 也 不 会 运行 了 。 


BRS SABRES, FEN 恶意 软件 也 在 不 断 增 加 。 尽 管 加 密 货 
的 市 值 有 所 下 降 ， 但 这 一 类 恶意 软件 仍然 存在 。 这 是 因为 攻击 者 可 以 利 
用 数字 货币 接收 赎金 ， 同 时 隐藏 自己 的 踪迹 。 














6.3 ”恶意 软件 感染 癌 量 


在 2017 年 的 数据 泄露 报告 中 ，Verizon 分 享 了 关于 恶意 软件 感染 向 
量 的 有 趣 观点 : 81% 的 恶意 软件 感染 是 通过 网 络 攻击 远程 安装 或 注入 
的 。 图 6-10 展 示 了 Verizon 的 研究 数据 。 





81% 4% 3% 3% 2% <1% <1% <1% <10% 


远程 注入 电子 邮件 | 通过 Web | 通过 Web | 通过 其 他 | 网 络 传播 | 便携 式 媒体 编码 在 现 有 的 。 未知 
































自动 执行 手动 执行 | REE 软件 中 (例如 
Rye 感染 安装 逻辑 炸弹 ) 
图 6-10 


6.3.1 远程 注入 








攻击 者 利用 可 以 远程 执行 命令 的 漏洞 来 注入 恶意 软件 。 


6.3.2 ”电子 邮件 


网 络 钓鱼 和 鱼 又 式 网 络 钓 鱼 技术 是 基于 计算 机 的 社会 工程 学 的 传统 


形式 。 本 质 上 ， 攻 击 者 需要 做 的 就 是 准备 一 封 看 似 可 信 的 电子 邮件 ， 诱 
导 受 害 者 打开 附件 中 的 恶意 文档 ， 或 反击 超 链接 重 定 同 到 恶意 网 站 。 


6.3.3 ”通过 Web 自 动 执行 感染 


攻击 者 利用 网 站 的 漏洞 植 入 恶意 软件 。 对 受害 者 来 说 ， 只 是 浏览 
一 个 看 似 合法 的 网 站 ， 并 没有 意识 到 这 一 切 的 发 生 。 





6.3.4 ”通过 Web 手 动 执 行 感染 

不 同 于 通过 Web 自 动 执行 感染 ， 在 这 种 方式 下 ， 攻 击 者 隐藏 了 他 们 
的 恶意 软件 ， 并 且 试 图 欺骗 受害 者 在 网 站 上 执行 操作 ， 例 如 下 载 特定 的 
文件 。 


6.3.5 ”通过 其 他 和 恶意 软件 安装 





命令 和 控制 通信 是 攻击 链 的 一 部 分 ， 在 这 种 情况 下 ， 攻 击 者 可 以 直 
接 与 受 感染 的 计算 机 通信 ， 也 可 以 在 受害 者 计算 机 上 安装 其 他 的 恶意 软 
人 


6.3.6 ”网 络 传播 


攻击 者 会 定期 扫描 企业 面 癌 互联 网 开放 的 卫 地 址 ， 以 检测 可 通过 网 
络 访问 的 计算 机 。 一 旦 识别 到 目标 ， 攻 击 者 便 会 使 用 不 同 的 技术 开展 下 


一 步 的 攻击 ， 如 暴力 破解 或 漏洞 扫描 。 
6.3.7 (EI AUR 


好 奇 是 人 类 的 天 性 ， 而 专门 从 事 社 会 工程 的 攻击 者 尤其 意识 到 了 这 
一 点 。 设 置 诱饵 是 最 古老 的 社会 工程 学 技术 之 一 。 这 种 方式 使 用 恶意 的 
便携 式 媒 体 来 破坏 计算 机 ,“ 震 网 行动 ”(Operation Stuxnet) 正 是 利用 了 
这 一 技术 。 在 这 种 情况 下 ， 攻 击 者 通常 会 故意 将 恶意 的 便携 式 媒体 放 在 
目标 可 以 发 现 的 地 方 ， 期 望 目 标 会 由 于 好 奇 而 将 便携 式 媒体 插入 计算 
机 。 











6.3.8 ”编码 在 现 有 的 软件 中 








供应 链 攻击 已 经 成 为 一 种 严重 的 威胁 。 为 了 对 最 终 目标 发 起 成 功 的 
攻击 ， 攻 击 者 开始 关注 和 了 解 目标 的 供应 商 ， 然 后 针对 其 及 起 攻击 。 尽 
管 许多 财富 100 强 的 公司 都 有 巨额 的 安全 预算 ， 但 与 这 些 公 司 有 业务 往 
来 的 小 公司 却 没有 。 即 使 是 为 财富 100 强 公司 工作 的 最 小 的 公司 ， 最 终 
也 需要 通过 财富 100 强 公司 的 系统 上 传 发 票 。 攻 击 者 还 可 以 针对 独立 软 
件 开 发 商 发 起 攻击 ， 最 终 目 标 可 能 会 使 用 独立 软件 开发 商 开 发 的 简单 工 
有 具 。 攻 击 者 常 第 试图 攻击 他 们 的 更 新 引擎 以 达到 目的 。 





6.4 小结 


恶意 软件 种 类 多 样 ， 攻 击 和 防护 的 方式 各 不 相同 。 本 
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的 恶意 软件 种 类 及 其 传播 方式 ， 这 将 有 助 于 更 好 地 制定 防护 策略 。 





第 7 章 将 介绍 漏洞 和 漏洞 利用 程序 ， 这 是 黑客 用 来 破坏 系统 和 执行 
恶意 活动 的 强大 武器 。 


第 7 章 “” 漏 洞 和 漏洞 利用 程序 


在 几乎 所 有 的 工程 领域 ， 分 析 过 去 的 失败 可 以 帮助 我 们 积累 经 验 ， 
并 对 当前 的 情况 进行 改进 。 美 国 国土 安全 部 称 ，90% 的 安全 事件 都 是 软 
件 缺 陷 导 致 的 。 因 此 ， 许 多 开发 人 员 在 发 布 软件 前 都 要 在 本 地 或 者 云 上 
进行 测试 。 但是， 测试 过 程 中 通常 更 关注 用 户 体 验 、 性 能 以 及 一 些 通 用 
的 安全 性 测试 ， 开 发 人 员 往 往 意 识 不 到 软件 中 存在 安全 漏洞 。 目 前 并 没 
有 强制 企业 必须 实施 软件 安全 开发 生命 周期 和 负 贡 任 的 漏洞 披露 流程 ， 
因此 ， 个 人 和 安全 社区 负 有 更 大 的 责任 ， 这 其 中 包括 构建 安全 的 软件 以 
及 向 独立 软件 供应 商 (Independent Software Vendors, ISVs) 告知 潜 
在 漏洞 的 责任 。 实 际 上 ， 很 多 的 漏洞 在 软件 中 存在 了 很 长 的 时 间 ， 而 独 
并 软件 供应 商 却 根本 没有 意识 到 。 











本 章 将 涉及 以 下 主题 : 
。 漏洞 检测 ; 


。 漏洞 利用 技术 ; 
。 漏洞 利用 机 制 。 


7.1 漏洞 检测 


2014 年 ， 微 软 的 可 信赖 计算 (Trustworthy Computing, TwC) # 
门 启动 了 安全 开发 生命 周期 (Secure Development Lifecyle, SDL) it 


划 。 为 此 ， 微 软 引 入 了 一 种 软件 开发 流程 ， 并 使 用 该 流程 来 降低 开发 成 
本 ， 构 建 更 安全 的 软件 。 图 7-1 说 明了 此 过 程 。 


安全 和 隐私 
风险 评估 








科技 公司 和 政府 开始 合作 ， 为 负责 任 的 漏洞 披露 流程 提供 平台 。 此 
外 ， 许 多 科技 公司 启动 了 奖励 计划 ， 为 发 现 新 漏洞 的 人 员 提 供 资 金奖 
励 。 例 如 ， 谷 歌 启 动 了 谷歌 漏洞 奖励 计划 Vulnerability Reward 
Program, VRP) ， 对 发 现 符 合 条 件 的 漏洞 的 人 员 给 予 100 一 31337 美 元 
的 奖励 。 





己 经 有 许多 标准 化 漏洞 管理 的 尝试 ， 例 如 社区 开发 的 通用 缺陷 列表 
(Common Weakness Enumeration, CWE) 。 通 用 缺陷 列表 对 软件 缺 
陷 进 行 了 枚 举 和 分 类 ， 这 些 软件 缺陷 可 能 会 导致 软件 漏洞 的 发 生 。 通 用 
缺陷 列表 对 软件 缺陷 进行 了 统一 的 、 可 度量 的 分 类 ， 不 过 许多 开发 人 员 
担心 将 安全 漏洞 记录 下 来 会 导致 攻击 者 利用 这 些 漏洞 来 发 起 攻击 ， 因 此 
通用 缺陷 列表 中 很 少 有 完整 的 漏洞 信息 。 软 件 漏 洞 不 同 于 软件 故障 ， 漏 
洞 使 外 部 人 员 可 以 出 于 不 同 目的 恶意 使 用 软件 。 当 新 的 软件 漏洞 被 发 现 
时 ， 需 要 描述 清楚 一 系列 问题 ， 例 如 漏洞 是 如 何 发 生 的 、 什 么 时 候 发 生 
的 ， 以 及 应 该 癌 谁 去 报告 这 些 问 题 。 如 果 这 些 信息 被 不 负责 任 地 披露 ， 
攻击 者 可 能 会 以 有 害 的 方式 利用 漏洞 。 





图 7-2 所 示 是 对 该 过 程 的 说 明 。 





图 7-2 


软件 漏洞 在 暗 网 上 被 交易 ， 这 是 一 个 不 断 增 长 的 市 场 ， 尤 其 是 在 零 
日 漏洞 刚 被 发 现时 。 和 零 日 漏洞 是 未 被 官方 修补 的 漏洞 ， 通 音 是 未 被 官方 
发 现 的 严重 漏洞 ， 这 些 漏 洞 的 交易 价格 最 高 可 达 30 万 美元 。 昌 然 软件 
源 洞 的 主要 受益 者 是 攻击 者 ， 他 们 利用 这 些 漏洞 入 侵 系统 以 执行 非法 操 
作 ， 攻 击 者 识别 出 软件 漏洞 ， 然 后 将 这 些 信息 出 售 给 独立 软件 商 。 图 7- 
3 所 示 是 一 家 出 售 漏洞 利用 程序 的 上 暗 网 拍卖 行 。 
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7.2 ”漏洞 利用 技术 


软件 的 构建 和 维护 非常 复杂 ， 即 使 通过 了 大 量 的 测试 ， 也 无 法 确保 
软件 没有 任何 漏洞 。 有 两 种 公司 ， 一 种 是 知道 自己 已 经 被 攻破 的 公司 ， 
为 一 种 是 不 知道 自己 已 经 被 攻破 的 公司 。 没 有 漏洞 的 、 完 美的 软件 是 不 
存在 的 ， 在 源 代 码 的 深 处 总 会 存在 一 些 会 导致 漏洞 发 生 的 错误 。 本 章 接 
下 来 将 介绍 几 种 漏洞 利用 技术 ， 理 解 它们 之 间 的 差异 是 很 重要 的 ， 因 为 
不 同 的 情况 下 防御 措施 是 不 一 样 的 。 图 7-4 所 示 是 本 章 将 会 介绍 的 几 种 
常见 的 漏洞 利用 技术 。 
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图 7-4 

















7.2.1 Zaye vm th 


SPENCE SAE PAF fi EBS BY, I EP DK it 
出 。 攻 击 者 可 以 利用 该 技术 修改 目标 进程 的 地 址 空间 。 缓 冲 区 流出 在 东 
些 编程 语言 中 很 常见 ， 因 为 这 些 编程 语言 暴露 了 数据 类 型 的 克 层 信息 。 
这 些 编程 语言 并 不 总 是 进行 边界 检查 ， 而 且 可 以 履 盖 已 分 配 的 缓冲 区 。 
图 7-5 所 示 是 一 个 缓冲 区 溢出 的 例子 。 
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图 7-5 
7.2.2 ”整数 溢出 


当 用 户 试 图 将 一 个 超出 当前 整数 数据 类 型 大 小 的 整数 放 入 内 存 空间 
项 会 发 生 整 数 洪 出 ， 如 图 7-6 所 示 。 





Unvoa .ci93i46; Tormak spect tes type int out ine argument nes type Long 
[-Werror ,-Wfornat] 
tf("%i", 2147483648+1); 





图 7-6 


7.2.3 内存 人 破坏 


内 存 破坏 是 最 常见 的 编程 错误 ， 由 于 内 存 空间 被 破坏 ， 这 一 错误 往 
往 难 以 分 析 。 


7.2.4 格式 化 字符 串 攻 击 


当 攻 击 者 提交 的 数据 被 软件 当 作 命令 执行 时 ， 就 会 发 生 格式 化 字符 
串 攻 击 。 攻 击 者 可 以 利用 这 种 方式 执行 恶意 代码 、 读 取 内 存 空间 ， 从 而 
导致 软件 骨 演 ， 如 图 7-7 所 示 。 


vi format.c 
vi formatstr.c 
./formatstr %x 


cat formatstr.c 


<string.h> 
<stdlib.h> 


nt main(int argc, char *argv[]) 


char *x=(char *)malloc(40); 
strncpy(x,argv[1],40); 
printf(x); 

printf("\n"); 

return(0); 





图 7-7 


7.2.55 SLATE 
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为 。 苋 态 条 件 可 能 会 叶 致 软件 错误 和 设备 月 江 。 


7.2.6” 跨 站 脚本 攻击 





路 站 脚本 攻击 是 一 种 针对 Web 应 用 程序 的 攻击 技术 。 攻 击 者 可 以 利 
用 路 站 脚本 攻击 在 Web 应 用 程序 中 注入 恶意 的 客户 端 脚本 ， 当 用 户 浏览 
HUIS, RAS AS BCT © K 7-8 说 明了 这 一 过 程 。 








攻击 者 向 网 站 注入 恶 
意 脚本 ， 用 于 窃取 访 每 次 访问 网 站 时 ， 
问 者 的 会 话 cookie 民意 脚本 都会 被 


访问 者 的 会 话 cookie 
© 被 发 送 给 攻击 者 
人 


攻击 者 


攻击 者 在 a 
注入 脚本 的 漏洞 





7.2.7 Bah ok hit 


跨 站 请 求 伪造 也 被 称 为 One-click attacks。 在 跨 站 请 求 伪造 攻击 中 ， 
未 经 授权 的 命令 从 可 信任 的 源 传 递 到 Web 应 用 。 图 7-9 展 示 了 路 站 请 求 
伪造 攻击 的 过 程 。 
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应 用 程序 中 创建 会 话 
图 7-9 
7.2.8 SQL 注入 攻击 
SQL 注 入 攻击 是 最 常用 的 攻击 技术 之 一 ， 攻 击 者 利用 这 种 技术 注入 


恶意 代码 ， 攻 击 数 据 驱 动 的 应 用 程序 ， 破 坏 数 据 库 。 图 7-10 所 示 是 对 
SQL 注入 攻击 的 说 明 。 





ese H 


SQL 查 询 是 应 用 程序 与 。 : 。 当 应 用 程序 未 能 对 数据 库 查 询 。 : ”攻击 者 可 以 使 用 特别 编写 的 


数据 库 通信 的 一 种 方式 。 ”: 中 的 不 可 信 数 据 (如 Web 表 单 。 :SQL 命令 欺骗 应 用 程序 ， 让 
: 字段 中 的 数据 ) 进行 过 滤 时 ， ”; ”数据 库 执行 非法 命令 。 
就 会 发 生 SQL 注 入 。 : 
图 7-10 





7.3 Hey 





司 利用 机 制 





攻击 可 能 会 通过 两 种 不 同 的 机 制 达 到 目的 ， 其 一 是 通过 内 部 或 外 部 
网 络 进行 传递 ， 这 被 归 类 为 远程 利用 ， 其 二 是 通过 内 部 人 员 在 本 地 传 
递 ， 这 被 称 为 本 地 攻击 。 由 于 数字 化 转型 和 移动 化 的 不 断 发 展 ， 难 以 想 
象 出 哪个 企业 没有 连接 互联 网 ， 因 此 ， 正 是 由 于 可 以 更 好 地 隐藏 攻击 者 
的 踪迹 ， 远 程 利用 成 为 攻击 者 首选 的 利用 机 制 |。 








7.4 小结 





本 章 介 绍 了 漏洞 和 漏洞 利用 程序 的 核心 概念 ， 深 入 研究 了 不 同 的 漏 
洞 利用 技术 ， 如 缓冲 区 汶 出 、 竞 态 条 件 和 内 存 破 坏 ， 以 及 威胁 行动 者 如 
何 进 行 利用 。 





第 8 章 将 深入 探讨 网 络 经 济 和 相关 的 安全 系统 。 





PEE ”攻击 网 上 银行 系统 








人 们 每 天 都 在 使 用 互联 网 进行 网 上 银行 交易 、 购 买 礼物 以 及 交换 个 
人 和 企业 信息 。2018 年 ， 仅 在 美国 ， 就 有 70.4% 的 成 年 互联 网 用 户 使 用 


数字 银行 业务 ， 如 图 8-1 所 示 。 


图 8-1 
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金融 服务 业 中 的 银行 、 电 子 商务 网 站 、 保 险 公司 、 会 计 公 司 以 及 股 
票 经 纪 人 都 意识 到 互联 网 的 重要 性 ， 因 此 纷纷 改变 其 商业 模式 ， 确 保 其 
消费 者 通过 互联 网 能 


与 他 们 取得 联系 。 如 今 ， 几 乎 无 法 想象 这 样 的 场景 ， 那 就 是 你 拥有 
一 家 银行 的 账户 ， 但 他 们 不 提供 便于 你 进行 快捷 交易 的 网 上 银行 服务 ， 
或 者 不 提供 便于 你 检查 账户 余额 的 移动 应 用 。 金 融 服 务 行业 的 公司 正在 


努力 让 顾客 可 以 通过 互联 网 访问 他 们 的 数据 ， 而 在 过 去 ， 顾 客 只 能 到 线 
下 柜 合 去 办 理 业 务 ， 因 此 这 些 数 据 从 物理 上 都 是 安全 的 。 但 是 ， 随 着 数 
字 化 转型 、 全 球 化 以 及 互联 网 的 发 展 ， 这 种 情况 已 经 发 生 改 变 ， 所 有 这 
些 个 人 信息 和 机 蜜 数 据 都 可 以 通过 互联 网 让 顾客 能 够 更 加 方便 地 访问 。 


里 然 这 可 以 帮助 最 终 用 户 通 过 网 络 执 行 大 多 数 和 常规 操作 ， 但 同时 也 
给 企业 剖 来 了 新 的 安全 挑战 和 风险 。 这 不 再 像 以 往 那 样 ， 在 门口 安装 监 
控 摄 像 头 以 及 生物 指纹 扫描 器 以 确保 物理 安全 就 足够 了 了 。 现 在 ， 企 业 还 
需要 关心 如 何 识 别 和 防止 网 络 犯罪 。 网 上 银行 就 是 一 个 很 好 的 例子 。 如 
今 ， 网 上 银行 在 许多 国家 和 地 区 都 是 不 可 或 缺 的 存在 ， 并 且 这 一 趋势 仍 
在 全 球 迅速 增长 。 银 行 在 提供 网 上 银行 业务 时 面临 着 多 重 安全 挑战 。 网 
银 服 务 的 构建 必须 考虑 数据 隐私 和 纵深 防御 。 网 上 银行 需要 确保 它 具 有 
防止 其 诈 以 及 保护 最 终 用 户 的 能 力 。 下 面 这 些 是 常见 的 网 上 银行 需要 解 
决 的 问题 ， 如 何 确保 在 最 终 用 户 计 算 机 被 入 侵 后 ， 网 络 犯 罪 分 子 依然 无 
法 进行 在 线 交 易 ? 或 者 ， 如 何 检测 当前 通过 智能 手机 应 用 程序 登录 的 最 
终 用 户 实际 上 是 银行 账户 的 合法 拥有 者 ， 而 不 是 网 络 犯 罪 分 子 ? 


























网 络 罪犯 同样 也 意识 到 了 金融 服务 行业 的 数字 化 转型 ， 因 此 ， 针 对 
这 个 行业 的 公司 而 发 动 的 攻击 数量 激增 。 尽 管 网 络 安全 以 及 确保 企业 能 
够 防御 、 检 测 和 啊 应 网 络 攻 击 对 任何 行业 的 任何 公司 都 非常 重要 ， 但 实 
际 上 ， 这 对 金融 服务 行业 而 言 更 为 重要 ， 因 为 大 规模 网 络 攻击 可 能 对 社 
会 造成 极 大 的 伤害 。 因 此 ， 人 金融 服务 提供 商 必 须 遵守 许多 法 律 法 规 ， 并 
且 迫 切 需 要 先进 的 预防 技术 、 事 件 调 碍 技术 以 及 相关 流程 。 本 章 将 重点 
介绍 针对 网 上 银行 的 攻击 。 


8.1 网 上 银行 为 金融 服务 带 来 收益 


需要 注意 的 是 ， 为 客户 提供 网 上 银行 业务 不 只 是 意味 着 让 顾客 能 够 
更 容易 地 使 用 这 些 服 务 ， 它 还 为 金融 机 构 提供 了 许多 其 他 好 处 。 了 解 这 
一 点 非常 重要 ， 因 为 这 样 你 融 可 以 看 出 来 为 什么 企业 不 遗 余力 地 推动 该 
领域 的 现代 化 。 银 行 通过 提供 网 上 银行 服务 可 以 降低 成 本 ， 因 为 许多 区 
易 都 可 以 在 线 进行 ， 用 户 不 必 再 去 银行 柜台 。 在 大 多 数 情况 下 ， 这 正 是 
许多 银行 推出 网 上 银行 业务 的 主要 动机 。 此 外 ， 通 过 产品 展示 位 置 可 以 
让 银行 获得 更 多 的 交叉 销售 机 会 。 例 如 ， 典 型 的 网 上 银行 应 用 程序 不 会 
只 为 最 终 用 户 提供 资金 交易 的 服务 ， 而 是 在 此 基础 上 还 提供 个 人 贷款 或 
者 申请 信用 卡 的 服务 。 考 虑 到 这 些 ， 你 便 能 发 现金 融 机 构 在 持续 增强 用 
P WIRE- 








8.2 ”网 上 银行 的 业务 流程 


不 管 业 务 是 通过 计算 机 还 是 智能 手机 完成 的 ， 网 上 银行 都 遵循 相同 
的 流程 。 了 解 此 流程 很 重要 ， 因 为 这 样 你 就 可 以 知道 那些 针对 网 上 银行 
进行 的 攻击 是 如 何 开 展 的 。 抽 象 来 看 ， 最 终 用 户 通 过 Web 浏 览 占 、 果 面 
应 用 程序 或 智能 手机 应 用 程序 登录 网 上 银行 ， 然 后 用 户 便 可 以 执行 茶 些 
操作 。 在 这 种 情况 下 ， 基 于 用 户 名 和 密码 的 吴 份 认证 只 能 提供 最 低 限 度 
的 安全 保护 ， 在 当今 时 代 这 么 做 早已 不 够 安全 。 








以 下 步骤 说 明了 网 上 银行 的 业务 流程 : 





。 用 户 使 用 计算 机 或 智能 手机 访问 网 上 银行 网 站 ; 


。 用 户 提 供 其 用 户 名 和 密码 以 访问 其 银行 账户 ; 

。 数据 通过 安全 传输 层 (Transport Layer Security, TLS) 加 密 传 递 到 
银行 服务 器 ; 

。 银行 解密 信息 并 验证 用 户 喘 份 ; 

。 银行 回 用 户 授予 访问 权限 ， 用 户 则 可 以 访问 其 银行 账户 。 


8.3 ”攻击 技术 


金融 服务 行业 中 的 企业 迫切 需要 先进 的 安全 防御 技术 ， 以 确保 这 些 
技术 能 够 应 对 出 现在 数字 领域 里 的 新 型 威胁 。 在 全 球 范 围 内 ， 银 行 现 有 
的 许多 安全 防御 技术 已 经 过 时 ， 仅 在 抵御 传统 威胁 的 时 候 有 些 作 用 。 由 
于 在 线 交 易 数量 不 断 增 加 ， 因 此 重新 评估 安全 防御 技术 并 使 之 现代 化 至 
关 重 要 。 为 了 做 到 这 一 点 ， 并 且 不 受 许 多 安全 厂商 的 恐吓 性 营销 的 影 
啊 ， 人 至 天 重要 的 是 企业 需要 深入 了 解 网 络 犯罪 分 子 用 来 破坏 业务 的 攻击 
技术 和 漏洞 。 大 多 数 攻 击 都 通过 网 络 进行 ， 例 如 最 终 用 户 被 诱导 下 载 了 
恶意 软件 或 者 直接 从 网 上 运行 恶意 软件 。 当 在 计算 机 上 或 者 直接 运行 恶 
意 软 件 的 情况 下 ， 威 胁 行 动 者 使 用 以 下 技术 来 销 取 账号 和 个 人 身份 标识 
人 符 ， 并 和 演 试 执行 欺诈 交易 ， 如 图 8-2 所 示 。 























浏览 器 中 间 人 人 攻击。 木马 感染 Web 浏 览 器 并 利用 浏览 器 漏洞 ， 而 该 
汤 洞 使 网 络 罪犯 可 以 修改 网 页 和 交易 内 容 以 插入 恶意 代码 。 金 融 服 
务 行业 中 的 许多 公司 部 将 浏览 如 中 间 人 攻击 视 为 对 其 服务 影响 最 大 
的 威胁 。 

凭据 甸 取 攻击 。 网 络 犯罪 分 子 通 常 使 用 网 络 钓 鱼 来 骗取 受害 者 的 账 
号。 通常 ， 这 是 基于 和 凭据 的 网 络 攻 击 的 第 一 阶段 。 

。 信道 破坏 攻击 。 这 是 一 个 过 程 ， 通 过 该 过 程 攻击 者 可 以 拦截 最 终 用 














户 与 银行 之 间 本 应 该 是 安全 的 通信 信道 。 
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浏览 器 中 间 人 攻击 
(Man-in-the-Browser Attack， 
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信道 破坏 攻击 
(Channel Breaking Attack, 






图 8-2 


当前 ， 许 多 监管 要 求 也 在 现代 化 改进 中 ， 并 要 求 公 司 报告 数据 泄露 
事件 。 众 所 周知 ， 在 过 去 ， 金 融 服务 领域 的 许多 公司 都 会 试图 掩 畜 网 络 
攻击 和 数据 泄露 事件 ， 因 为 事件 一 旦 公布 ， 他 们 作为 可 信赖 合作 伙伴 的 
形象 和 声誉 就 会 受到 威胁 。 对 银行 来 说 ， 这 些 监管 要 求 已 经 成 为 一 种 不 
可 或 缺 的 存在 ， 这 可 以 确保 银行 能 够 真正 验证 最 终 用 户 的 号 份 并 执行 安 
全 控制 ， 例 如 通过 多 因素 认证 以 使 身份 认证 尽 可 能 难以 被 莫 改 。 如 今 ， 
大 多 数 网 上 银行 都 使 用 具有 单一 故 隐 点 的 旧 模 型 ， 这 主要 是 因为 该 解决 
方案 依赖 于 一 个 最 终 用 户 与 银行 之 间 的 共 至 密 钥 ， 以 及 一 个 只 有 该 最 终 
用 户 才 拥有 的 元 素 。 在 这 种 情况 下 ， 共 至 密 钥 通常 是 纯 文本 密码 ， 而 只 
有 最 终 用 户 才 拥有 的 元 素 可 以 是 存储 在 计算 机 或 先前 注册 过 的 智能 手机 
上 的 指纹 。 现 如 今 我 们 知道 ， 这 么 做 已 经 不 足以 打击 网 络 犯罪 。 网 络 犯 
罪 分 子 所 需要 做 的 是 在 传输 过 程 中 拦截 凭据 ， 并 入 侵 最 终 用 户 的 智能 手 
机 。 








考虑 到 以 上 这 些 要 系 ， 针 对 网 上 银行 的 攻击 可 能 会 发 生 在 图 8-3 所 
示 流 程 中 的 这 3 个 地 方 :在 客户 痢 ， 无 论 其 是 个 人 计算 机 还 是 移动 设 
fe; 在 最 终 用 户 的 设备 和 银行 之 间 的 网 络 层 上 ; PRAT RA a it o 


客户 端 网 络 基础 设施 服务 器 


图 8-3 








攻击 者 在 这 3 个 地 方 持续 观察 ， 并 选择 最 容易 突破 的 地 方 发 起 攻 
击 。 在 大 多 数 情况 下 ， 突 破 点 是 客户 咒 ， 并 且 很 可 能 通过 网 络 钓鱼 活动 
发 起 。 


8.4 “25 


本 章 介绍 了 金融 服务 业 为 发 展 网 上 银行 业务 而 推动 IT 和 安全 技术 发 
展 的 关键 原因 ， 讲 解 了 攻击 者 如 何 千方百计 地 想 要 突破 安全 控制 措施 。 





第 9 章 将 介绍 通信 以 及 网 络 协议 这 些 网 络 安全 领域 非常 重要 的 方 
面 。 


第 9 章 ”脆弱 的 网 络 和 服务 一 一 入 侵入 口 


通信 和 和 网络 协议 是 网 络 攻击 领域 的 重要 组 成 部 分 。 因 此 ， 许 多 威胁 
直接 针对 人 员 、 系 统 和 设备 使 用 的 网 络 或 通信 和 通道。 网络 罪犯 会 考虑 通 
过 网 络 和 通信 通道 来 进行 攻击 ， 因 为 现在 有 上 百 万 个 物 联网 设备 ， 员 工 
也 在 把 自己 的 个 人 便携 设备 带 到 工作 场所 ， 云 计算 在 普遍 采用 ， 许 多 企 
业 都 依赖 基于 Web 的 系统 。 有 许多 攻击 技术 和 工具 专门 利用 网 络 和 通信 
通道 中 的 常见 漏洞 。 本 章 将 研究 以 下 主题 。 
。 脆弱 的 网 络 协 议和 网 络 入 侵 。 
。 攻击 Web 服 务 器 和 基于 Web 的 系统 。 

o 在 线 登 录 和 密码 破解 。 

o 绕 过 Web 防 护 。 

o FBT KG 
。 无 线 和 蓝牙 相关 的 黑客 工具 与 技术 。 
© 昂 受 攻击 的 网 络 设备 。 


9.1 脆弱 的 网 络 协议 和 网 络 入 侵 





在 包括 互联 网 在 内 的 网 络 通信 建立 之 初 ， 几 乎 没有 任何 针对 它们 的 
网 络 安 全 威胁 。 因 此 ， 在 这 一 时 期 ， 关 注 点 更 多 地 集中 在 性 能 和 速度 方 
面 ， 而 忽略 了 安全 设计 。 


当 网 络 安全 威胁 增加 等 变化 来 临时 ， 才 不 得 不 被 动 地 采取 一 些 措 





施 ， 攻 与 防 演变 成 了 一 场 奶 赶 游戏 。 不 幸 的 是 ， 黑 客 正 在 变 得 越 来 越 强 
大 。 黑 客 从 网 络 协议 中 发 现 了 很 多 安全 漏洞 ， 以 下 是 一 些 越 来 越 不 安全 
的 互联 网 协议 。 





9.1.1 简单 邮件 传输 协议 


简单 邮件 传输 协议 (Simple Mail Transfer Protocol, SMTP) 被 许 
多 企业 用 于 传输 电子 邮件 ， 该 协议 出 现 以 后 ， 很 快 成 为 个 人 和 企业 发 送 
与 接收 电子 邮件 最 简单 的 方式 之 一 。 然 而 ， 针 对 SMTP 的 安全 威胁 也 在 
不 断 激增 。SMTP 的 设计 并 没有 考虑 到 这 些 安全 问题 的 存在 ， 这 也 成 为 
网 络 管理 员 保护 SMTP 的 负担 。 针 对 SMTP 的 攻击 方式 之 一 是 账户 枚 
举 ， 通 过 这 种 方式 获得 大 量 邮件 账户 后 ， 攻 击 者 可 以 向 其 发 送 垃圾 邮件 
或 发 起 钓鱼 攻击 。 账 户 枚 举 通过 在 25 号 端口 上 运行 名 为 VRFY 的 SMTP 
命令 来 验证 电子 邮件 账户 是 否 已 在 特定 的 服务 器 上 注册 ， 响 应 结果 会 显 
示 电 子 邮件 账户 是 否 有 效 。 

















9.1.2 ZPERE 


安全 套 接 层 (Secure Sockets Layer, SSL) 被 认为 是 对 安全 性 的 最 
终 检 查 手段 ， 用 户 应 该 在 同 网 站 提交 个 人 数据 之 前 检查 网 站 是 否 具有 
SSL。SSL 的 工作 原理 是 对 主机 和 服务 器 之 间 交 换 的 数据 进行 加 密 ， 从 
而 使 黑客 几乎 无 法 拦截 和 读 取 流量 中 的 内 容 。 然 而 ， 这 种 将 网 络 安全 作 
为 最 终 安全 检查 手段 的 方法 面临 着 挑战 。 黑 客 技术 越 来 越 先 进 ， 而 SSL 
自 1996 年 以 来 却 从 未 有 过 任何 更 新 。 有 一 些 针对 SSL 安 全 性 的 攻击 使 





Chrome 和 Firefox 等 浏览 器 想 要 废除 SSL。SSL 的 继承 者 是 安全 传输 层 
(TLS) ， 但 它 也 并 不 是 没有 任何 缺陷 的 。TLS 是 在 1999 年 作为 SSL 3.0 
版 的 继承 者 出 现 的 ， 但 SS5L 在 互联 网 上 仍然 更 常用 。 


TLS 是 一 种 用 于 互联 网 通信 的 加 密 协 议 ， 为 客户 端 和 服务 器 之 间 交 
换 的 所 有 数据 提供 端 到 端 加 密 。 它 比 SSL 更 安全 ， 但 仍 面 临 着 网 络 攻击 
的 威胁 。 其 中 一 种 针对 TLS 的 攻击 被 称 为 BEAST， 在 CVE 漏 洞 库 中 的 编 
号 是 CVE-2011-3389。 在 这 种 攻击 中 ， 攻 击 者 将 自己 的 数据 包 注 入 SSL 
通信 流 中 ， 这 使 他 们 能 够 确定 通信 流 是 如 何 被 解密 的 ， 从 而 解密 流量 。 
另 一 个 针对 SSL 的 攻击 是 POODLE， 它 的 CVE 漏 洞 编号 是 CVE-2014- 
3566。POODLE 是 一 种 巧妙 的 中 间 人 攻击 方式 。 当 客户 端 局 动 SSL 握 手 
时 ， 攻 击 者 截获 通信 流 并 伪装 成 服务 器 ， 然 后 请 求 客户 端 将 其 降级 到 
SSL 3.0。 当 攻击 者 着 换 包 中 的 填充 字 节 ， 然 后 将 数据 包 转 发 到 真实 的 
服务 器 时 ，POODLE 攻 击 就 发 生 了 。 服 务 器 并 不 会 检查 填充 中 的 值 ， 它 
只 关心 明文 的 消息 身份 验证 码 和 填充 长 度 。 攻 击 者 作为 中 间 人 观察 服务 
器 的 响应 ， 以 破解 客户 端 发 送 的 消息 。 








9.1.3 ”域名 系统 


域名 系统 (Domain Name System, DNS) 是 确保 域名 被 转换 成 IP 
地 址 的 协议 。 但 是 ， 该 协议 不 仅 古 老 ， 且 存在 安全 缺陷 ， 容 易 遭 受 攻 
击 。 一 个 黑客 组 织 曾 利用 该 协议 将 本 意 访 问 twitter 网 站 的 用 户 重 定向 到 
恶意 网 站 。 因 此 ， 大 量 的 攻击 者 可 以 共同 发 起 DNS 攻 击 ， 将 正确 的 网 站 
IP 地 址 人 殖 换 为 恶意 耻 地 址 ， 从 而 将 特定 网 站 的 访问 者 重 定 册 到 恶意 网 


站 。 里 然 对 此 已 经 开发 了 一 些 修复 程序 ， 但 是 由 于 对 性 能 有 影响 ， 因 此 
并 没有 被 采用 ， 而 更 多 的 修复 方案 仍 处 于 开发 中 。 在 互联 网 之 外 ， 还 有 
其 他 针对 企业 网 络 的 攻击 方式 。 在 这 些 攻 击 场 景 下 ， 由 于 攻击 者 关注 的 
范围 更 罕 ， 从 而 更 加 容易 成 功 。 以 下 是 其 中 的 一 些 攻 击 方式 。 


9.1.3.1 包 嗅 探 





攻击 者 通过 这 种 方式 获取 网 络 中 交换 的 所 有 数据 ， 尤 其 是 未 加 密 的 
数据 。 令 人 惊讶 的 是 ， 很 多 免费 和 开源 的 程序 可 以 用 来 达到 该 目的 ， 例 
如 Wireshark。 黑 客 经 第 在 公共 网 络 环境 下 ， 例 如 咖啡 馆 Wi-Fi， 使 用 这 
些 工具 来 记录 、 读 取 和 分 析 网 络 流量 。 





9.1.3.2 ”分布 式 拒绝 服务 


分 布 式 拒绝 服务 DDoS) 攻击 越 来 越 普遍 ， 它 可 以 被 用 来 攻击 大 
型 目标 。 自 从 2016 年 最 大 的 域名 解析 公司 之 一 Dyn 遭 受到 该 攻击 以 来 ， 
黑客 们 陆续 将 这 种 攻击 用 于 许多 企业 。 在 上 暗 网 上 有 现成 的 供应 两 ， 他 们 
将 僵尸 网 络 出 租用 于 DDoS 攻击 。 最 可 怕 的 僵尸 网 络 之 一 是 Mirai， 它 由 
许多 物 联 网 设备 组 成 。DDoS 攻 击 将 大 量 非法 流量 引导 到 网 络 上 ， 当 流 
量 大 小 超出 了 服务 器 的 处 理 能 力 时 ， 服 务 吉 就 会 月 误 ， 并 且 无 法 处 理 合 
法 请 求 。 对 那些 通过 网 站 提供 产品 或 服务 的 企业 来 说 ，DDoS 攻 击 尤其 
令 人 担忧 ， 因 为 这 种 攻击 阻碍 了 业务 流程 的 正常 运行 。 








9.2 ”攻击 Web 服 务 器 和 基于 Web 的 系统 


Web 服 务 器 和 基于 Web 的 系统 由 于 其 方便 性 而 被 企业 和 机 构 广泛 采 
用 。 用 户 可 以 从 这 些 系统 访问 各 种 功能 ， 例 如 ， 用 户 可 以 通过 网 上 银行 
进行 转账 ， 而 不 必 自 己 去 银行 。 一 些 企业 还 会 借助 基于 Web 的 ERP 系 
统 。 然 而 ， 这 些 系统 通常 暴露 在 互联 网 上 ， 只 要 攻击 者 掌握 了 正确 的 工 
具 或 技术 ， 就 可 以 从 任何 地 方 发 起 攻击 。 以 下 是 Web 服 务 器 和 基于 Web 
的 系统 面临 的 一 些 攻击 。 








9.2.1 SQL 广 入 


这 是 一 种 古老 的 攻击 方式 ， 但 由 于 某 些 网 站 在 设计 和 开发 时 并 未 遵 
循 最 佳 实践 ， 因 此 这 种 攻击 方式 仍然 有 效 。 在 SQL 注入 攻击 中 ， 攻 击 者 
提 区 恶意 的 SQL 语句 ， 当 网 站 在 后 台 答 试 对 其 进行 处 理 时 ， 亚 意 语 句 就 
会 被 执行 。 攻 击 者 可 以 利用 这 种 方式 编写 SQL 语句 来 删除 数据 库 、 从 数 
据 库 检索 数据 以 及 修改 数据 。 这 种 攻击 在 网 站 没有 对 用 户 输入 进行 验证 
时 尤其 有 效 。 开 发 者 只 需要 添加 一 些 特殊 的 代码 来 防止 可 执行 命令 直接 
传递 到 数据 库 ， 就 可 以 保护 网 站 免 受 这 种 攻击 。 图 9-1 所 示 是 SQL 注入 
的 一 个 例子 。 


Sign in 
Email 


test@ 二 Pcom OR 1 = 1 -- 


| Sign in | w Stay signed in 


图 9-1 
9.2.2 Bat X van H 


这 种 攻击 使 本 来 应 该 用 于 处 理 Web 应 用 程序 输入 的 缓冲 区 发 生 内 
存 洲 出 。 应 用 专门 分 配 了 内 存 区 域 用 于 存放 用 户 提供 的 输入 ， 但 是 ， 攻 
击 者 可 以 构造 数据 填充 此 缓冲 区 ， 从 而 导致 其 他 用 户 无 法 成 功 地 回应 用 
提供 输入 。 


9.2.3 ”谷歌 高 级 搜索 


谷歌 会 从 整个 互联 网 中 殿 取 数据 ， 这 些 被 它 收 集 的 数据 也 会 被 攻击 
者 利用 。 舍 歌 高 级 搜索 通常 用 于 检索 在 网 站 页 面 显示 中 被 隐藏 的 数据 。 
由 于 一 些 Web 服 务 絮 的 浓 理 失误 ， 一 些 敏感 文件 被 误 保 存在 公开 的 文件 
夹 中 ， 通 过 谷歌 高 级 搜索 可 以 查找 到 这 些 文件 。 谷 歌 高 级 搜索 还 可 以 用 
来 挖掘 关于 企业 雇员 的 信息 ， 以 用 于 社会 工程 目的 。 














9.2.4 暴力 破解 


大 多 数 企 业 的 系统 都 具备 身份 认证 过 程 ， 以 使 其 员工 或 用 户 能 够 访 
问 基于 Web 的 系统 。 映 份 认 证 使 用 的 用 户 名 往往 比较 简单 ， 在 茶 些 企业 
中 ， 用 户 名 是 企业 的 域名 加 上 用 户 的 名 字 和 姓氏 的 组 合 。 与 此 同时 ， 企 
业 期 望 用 户 可 以 谨慎 保管 自己 的 密码 ， 但 是 用 户 却 难以 做 到 。 用 户 往 往 
难以 做 到 在 每 个 站 点 使 用 不 同 的 密码 、 使 用 复杂 的 密码 或 者 定期 修改 密 
码 。 歇 力 人 破解 攻击 通过 尝试 所 有 可 能 的 组 合 来 破解 用 户 名 和 密码 的 组 
合 。 当 攻击 者 知道 与 用 户 有 关 的 一 些 详细 信息 ， 例 如 生日 、 真 实 姓名 、 
宠物 的 名 字 以 及 用 户 密码 中 包含 的 其 他 数据 时 ， 骏 力 破 解 攻击 会 更 加 有 
效 。 





IBM 定 义 了 以 下 背 见 的 暴力 破解 攻击 类 型 。 


字典 攻击 。 这 种 攻击 方式 利用 了 字典 文件 中 的 不 同 用 户 名 和 密码 的 
组 合 ， 在 工具 的 辅助 下 不 断 尝 试 。 字 — 典 文件 中 往往 包含 了 常用 的 用 
户 名 密码 组 合 以 及 从 某 个 攻击 目标 收集 来 的 数据 。 

穷 举 攻 击 。 这 种 攻击 方式 涵盖 了 密码 长 度 中 每 个 字符 的 所 有 组 合 ， 
虽然 耗 时 很 长 ， 但 非常 有 效 。 

基于 规则 的 穷 举 攻击 。 这 种 攻击 方式 在 筋 举 攻击 的 基础 上 进行 ， 在 
穷 举 时 根据 用 户 名 或 预定 义 的 单词 来 生成 密码 。 例 如 ， 当 要 攻击 用 
户 名 为 mike@*.com 的 账户 时 ， 可 以 使 用 基于 “mike” 的 单词 生成 密 
WEE. 


接 下 来 ， 我 们 介绍 一 些 用 于 暴力 破解 的 工具 。 


9.2.4.1 Medusa 


Medusa 是 针对 HTTP、IMPA、MySQL、MS SQL、POP3、SNMP、 
SSH 等 协议 的 密码 破解 工具 。 该 工具 可 以 用 于 猜测 用 户 名 和 密码 字段 ， 
在 60 秒 内 可 以 演 试 2000 个 密码 ， 并 且 文 持 并 行 运行 。 因 此 ， 它 可 以 用 来 
破解 网 站 后 台 或 用 户 账号 的 密码 。 图 9-2 所 示 是 Medusa 的 截图 。 











9.2.4.2 Brutus 








Brutus 是 一 个 针对 在 线 系 统 的 远程 密码 破解 工具 ， 该 工具 快速 灵 
活 ， 支 持 HTTP、POP3、FTP 和 SMB 等 协议 。 该 工具 可 以 用 于 多 阶段 身 
份 认证 系统 ， 它 会 不 断 提 供 登录 和 任 据 ， 直 到 通过 为 止 。 它 最 多 支持 并 行 
处 理 60 个 目标 ， 还 支持 暂停 与 恢复 攻击 的 功能 。 图 9-3 所 示 是 Brutus 的 截 
图 。 











x Brutus - AET2 - www.hoobie.net/brutus - (January 2000) 


File Tools Help 





Target [127.0.0.1 Type [HTTP (Basic Auth) +] | Stat | Stop | Clear| 


M Connection Options 


Port |80 Connections M J 10 Timeout TÌ 10 Jf UseProxy Define 


tf 














FHTTP [Basic] Options 
Method [HEAD >] IV Keepalive 


Authentication Options 




















IV UseUsemame Į Single User Pass Mode [word List =] 
User File Jusers. txt Browse Pass File [words.tit Browse | 
Positive Authentication Results 





9.2.5 ”组 过 Web 防 护 


生 季 情况 下 ， 网 站 会 在 其 Web 应 用 之 上 增加 一 层 额 外 的 安全 防护 措 
施 ， et 这 些 额 外 的 安全 防护 则 在 防止 发 生 于 登录 
界面 的 自动 化 攻击 。 然 而 ， 黑 客 已 经 想 出 了 办 法 来 破解 这 些 额 外 的 安全 
防护 。 以 下 介绍 一 些 绕 过 不 同类 型 Web 防 护 的 方法 。 


9.2.5.1 ” 绕 过 验证 码 


验证 码 通 第 被 网 站 用 于 人 机 识别 ， 图 9-4 所 示 古 一 个 验证 码 的 截 
图 。 


You'll be subscribed to our list as soon as you complete this step. 


To help prevent spam, please type the text you see in the box above. 


Subscribe Me 


图 9-4 





要 想 绕 过 验证 码 ， 需 要 知道 它 背 后 的 实现 过 程 。 以 下 是 用 于 生成 上 
述 验证 码 的 代码 。 


<form action="/captcha/captchaCheck" method="post"> 
<input name="hash" value="09573e52f752f3f5e6250b62aa34b8a8c68a4d22" 
type="hidden"> 
<input name="emailAddress" value="test@email.***" type="hidden"> 


<input name="name" value="" type="hidden"> 
<input name="enteredVaLue" size="25" type="text"> 
<input value="Subscribe" type="submit"> 

</form> 








只 有 妆 用 户 的 输入 与 期 望 值 匹 配 时 ， 才 应 该 允许 用 户 访问 网 站 。 通 
常 ， 期 望 值 被 散 列 处 理 后 ， 会 随 着 对 验证 码 界 面 请 求 的 啊 应 一 起 返回 给 
用 户 。 因 此 ， 要 破解 验证 码 ， 需 要 确保 可 以 生成 与 散 列 匹配 的 值 ， 黑 客 
通常 通过 能 够 破解 获 列 值 的 工具 来 达到 该 目的 。 可 以 通过 一 球 叫 作 
dcipher 的 工具 达到 这 一 目的 ， 图 9-5 所 示 是 该 工具 的 输出 截图 。 


图 9-5 





从 图 9-5 可 以 看 到 ， 解 密 后 的 值 与 captcha 屏 幕 上 的 值 是 一 致 的 。 黑 
客 只 需要 编写 目 动 化 的 脚本 检索 散 列 值 ， 然 后 使 用 破解 散 列 值 的 工具 对 





该 值 进行 运算 ， 最 后 通过 POST 请 求 将 结果 提供 给 网 站 ， 就 可 以 绕 过 验 
证 人 码 防御 |。 





9.2.5.2” 绕 过 双 因 素 身 份 认 证 


许多 企业 使 用 双 因 系 里 份 认证 来 加 强 喘 份 认 证 过 程 的 安全 性 ， 从 而 
确保 访问 者 是 合法 的 。 这 两 种 认证 机 制 可 以 显著 降低 攻击 者 入 侵 成 功 的 
概率 。 即 使 攻击 者 破解 了 一 个 账户 的 密码 ， 也 可 能 会 被 第 二 个 身份 认证 
因素 阻止 。 大 多 数 情况 下 ， ee ne ee 
邮件 的 验证 码 。 黑 客 通 第 有 两 种 方法 来 绕 过 这 一 认证 ， 第 一 种 是 社会 工 
程 ， ee oe nn 
的 账户 密码 已 被 破解 ， 在 第 二 个 号 份 认 证 阶段 ， 验 证 码 会 被 发 送 到 用 户 
的 手机 。 这 时 黑客 可 以 主动 联系 用 户 ， 告 诉 用 户 他 们 是 该 网 站 的 工作 人 
员 ， 正 在 确认 用 户 的 详细 信息 ， 然 后 同 用 户 索 要 验证 码 ， 诱 导 用 户 将 验 
证 码 提供 给 他 们 。 


绕 过 双 因 素 身份 认证 的 第 二 种 方法 是 利用 与 之 相关 的 技术 。 在 某 些 
情况 下 ， 账 号 重 置 功能 没有 启用 双 因 素 身 份 认证 。 因 此 ， 黑 客 只 需要 按 
照 网 站 给 出 的 步骤 进行 操作 就 能 重 置 目标 账号 的 密码 。 尽 管 下 一 次 登录 
仍然 可 能 需要 双 因 素 身 份 认 证 ， 但 黑客 可 以 通过 账号 重 置 功 能 再 次 取得 
账号 的 访问 权限 。 














9.2.5.3 D KhA 


防火 增 可 以 过 滤 恶 意 网 络 流量 ， 防 止 恶 意 来 源 的 或 者 不 正常 的 流量 


进入 网 络 。 不 过 ， 黑 客 也 可 以 通过 一 种 称 为 Hitkit rootkit 的 恶意 软件 绕 
过 防火 墙 的 限制 ， 该 恶意 软件 会 干扰 硬件 防火 墙 。 黑客 必须 首先 入 侵 防 
火 墙 并 获得 管理 员 权限 ， 之 后 恶意 软件 将 通过 允许 的 端口 传输 黑客 流量 
而 不 会 触发 防火 墙 的 警报 。 


I K APIT AET A m, WRA ie EN 
个 防火 墙 无 法 识别 的 恶意 网 站 建立 连接 ， 那 么 这 个 连接 就 不 会 触发 警 
报 。 因 此 ， 如 果 客 户 剖 连接 到 一 个 利用 浏览 占 漏 洞 来 读 取 存储 的 密码 或 
锁 取 Cookie 的 恶意 网 站 ， 防 火 墙 将 无 法 进行 任何 干预 。 这 也 是 企业 警告 
他 们 的 用 户 不 要 点 击 陌生 人 发 来 的 电子 邮件 中 的 链接 的 原因 。 这 些 链 接 
可 能 指向 可 以 进行 客户 并 攻击 的 并 且 防 火 增 无 法 识别 的 恶意 网 站 。 





通过 对 数据 包 分 段 也 可 以 纸 过 防火 场 。 有 一 些 工具 可 以 使 黑客 了 解 
保护 企业 的 防火 墙 是 如 何 配 置 的 ， 他 们 可 以 根据 这 些 信息 来 配置 绕 过 规 
则 的 流量 ， 通 第 的 做 法 是 对 数据 包 进行 分 段 。 对 数据 包 进 行 分 段 后 ， 防 
火 墙 难以 根据 单个 包 中 的 数据 来 判定 这 是 否 构 成 威胁 ， 因 此 不 会 触 友和 警 
报 。 要 想 探 测 到 这 一 类 威胁 ， 必 须 将 防火 墙 配置 为 对 分 段 数据 包 进 行 整 
合 ， 然 后 再 进行 安全 检查 ， 但 是 大 多 数 防火 墙 并 没有 此 类 配置 。 











93 无线 和 蓝牙 相关 的 黑客 工具 与 技术 


当 攻 击 者 可 以 连接 到 无 线 网 络 时 ， 无 线 网 络 就 成 为 他 们 可 以 利用 的 
攻击 面 。 有 两 类 无 线 网 络 漏洞 易 被 利用 ， 第 一 类 是 由 于 不 安全 的 配置 造 
成 的 ， 第 二 类 是 加 密 不 足 造成 的 。 不 安全 的 配置 通常 是 由 于 网 络 管理 员 
错误 地 配置 网 络 引 起 的 。 加 密 不 足 往往 是 由 于 用 于 加 密 无 线 传输 的 密 钥 























强度 不 够 。 


9.3.1 攻击 无 线 网 络 
9.3.1.1 Aircrack-ng 


这 套 工具 被 用 于 破解 802.11a/b/g 频 段 无 线 网 络 。Aircrack 可 以 通过 
捕获 足够 多 的 流 经 网 络 的 数据 包 ， 利 用 算法 来 破解 无 线 网 络 的 密码 。 当 
攻击 开始 时 ， 使 用 Airmon-ng 将 主机 的 无 线 网 卡 切换 为 混杂 模式 ， 然 后 
开始 接收 所 有 数据 包 ， 而 非 只 接收 预定 的 数据 包 。 在 这 之 后 ， 使 用 
Airdump-ng 捕 获 数据 包 ， 捕 获 的 数据 包 将 被 用 来 破解 密码 。 当 捕获 到 足 
够 的 数据 包 时 ， 可 以 使 用 Aircrack-ng 破 解 无 线 网 络 的 密码 ， 它 可 以 利用 
一 些 统计 技术 破解 基于 WEP 保 护 的 无 线 网 络 ， 以 及 对 WPA 和 WPA2 进 行 
字典 攻击 。 一 旦 无 线 网 络 的 密码 被 破解 ， 攻 击 者 可 以 使 用 Aircrack-ng 工 
其 套 件 做 更 多 的 事情 ， 例 如 ， 可 以 使 用 Airdecap-ng 来 解密 所 有 通过 网 络 
的 流量 。 套 件 中 的 Airbase-ng 还 可 以 用 来 将 普通 笔记 本 电脑 的 无 线 网 卡 
变 成 一 个 恶意 无 线 接 入 点 ， 该 接 入 点 可 以 使 用 合法 接 入 点 的 名 称 ， 所 有 
连接 到 恶意 接 入 点 的 设备 都 可 能 遭受 到 攻击 。 图 9-6 所 示 是 一 个 人 破解 无 
线 网 络 密码 的 例子 。 





open Hi "9 Ar root desktop/ “82 a ap 
pa $ 


Aircrack-ng 1.2 rc4 
[08:30:03] 76108192/310022794 keys tested (2546.07 k/s) 
Time left: 1 day, 1 hour, 31 minutes, 15 seconds 
KEY FOUND! [ ] 
Master Key : 20 2A 17 18 00 1D EF 3A 29 3F 9B A7 84 5E 2A AA 
FE B2 El 29 9A 9F 75 CF 73 31 24 74 31 2B B8 FC 
Transient Key : 4D 76 38 A8 OF EB A7 52 4D 01 BF 87 7E DA 20 19 
CB OB 2C D4 3F 66 76 79 FE 8F FD C9 6A DS AE FB 


20 E6 AE F8 A3 61 90 BA 9D 48 93 B5 FO 29 1F EE 
24 96 75 35 D6 03 68 DA 68 9D 11 FC 03 12 33 15 





EAPOL me : Fl 99 FA E3 55 94 25 53 3B F7 33 6A 4D B8 2B 6C 
i-# 


图 9-6 


9.3.1.2 Kismet 


Kismet 可 以 很 好 地 隐藏 攻击 ， 因 为 它 使 用 被 动工 作 模 式 。 该 工具 发 
送 的 数据 包 不 会 被 日 志 记 录 ， 从 而 减少 了 被 发 现 的 可 能 性 。 该 工具 可 以 
在 无 线 网 络 上 进行 嗅 探 ， 发 现 隐 藏 的 无 线 网 络 接 入 点 ， 并 且 探 测 相应 的 
客户 端 。 它 文 持 远程 操作 ， 可 以 捕获 来 日 多 个 源 的 流量 ， 并 且 提 供 
XML 格 式 的 输出 。 由 于 Kismet 可 以 扫描 特定 区 域内 所 有 可 用 的 无 线 网 
络 ， 因 此 可 以 用 来 监视 用 户 ， 判 断 连接 到 无 线 网 络 的 设备 的 活动 情况 。 
只 要 连接 到 可 以 分 析 的 无 线 网 络 ， 它 就 可 以 知道 受害 者 何 时 在 播放 视 
频 ， 何 时 在 玩 游戏 ， 以 及 可 以 及 现 受 害 者 家 中 所 有 连接 到 该 无 线 网 络 的 
电子 设备 ， 这 些 信息 可 能 会 被 攻击 者 透露 给 小 偷 ， 尤 其 古 在 攻击 者 在 受 
害 者 家 中 检测 到 昂贵 的 设备 时 。 图 9-7 所 示 是 Kismet 的 截图 。 











9.3.1.3 Wireshark 


Wireshark 是 一 于 协议 分 析 器 ， 它 恰 好 具有 网 络 管理 功能 ， 因 此 
wa a rn ee 


en Mate ne aul Tt eae eee 

。 使 用 该 工具 可 以 轻松 窃取 未 加 密 发 送 的 明文 消息 和 凭据 。 使 用 
Wan es ie 
供 有 关 企 业 网 络 的 丰富 信 


ers", BSSID 00:14:BF:07:2F:84, encryption no, chan 
Pike deck to reconnect 





rv 
new managed ne Erol 00: vie $0: rs CD:C2, encryption yes, chan 1 4 ml 
pdate from GPSD in 15 se more, attempting to reconnect 





9.3.2 INTE A 


T xe PRE. Fa ls fa RNN. Ey a DE 
FEA PA SAC A ALS ECA, ETA ACHR FE EY 
用 于 配对 的 密 钥 。 除 此 之 外 ， 几 乎 没有 其 他 任何 形式 的 安全 防护 ， 这 使 
它们 容易 受到 广泛 的 攻击 。 以 下 是 入 侵 蓝 牙 网 络 的 几 种 方式 。 








e Bluesnarfing: 这 是 一 种 从 蓝牙 设备 上 和 盆 取 数据 的 攻击 ， 例 如 短 
(2, 

e Bluebugging: 利用 这 种 攻击 ， 攻 击 者 可 以 通过 蓝牙 连接 达到 控制 
目标 设备 的 目的 。 


e Bluesmack: 这 是 一 种 针对 蓝牙 设备 的 拒绝 服务 攻击 。 


为 了 执行 这 些 攻击 ， 需 要 使 用 一 些 特殊 的 工具 。 以 下 是 一 些 特殊 的 
TH. 


。 Bluelog: 该 工具 可 用 于 扫描 和 发 现 区 域 中 的 蓝牙 设备 ， 并 进行 记 
录 。 

e Blueranger: 该 工具 通过 估算 蓝牙 设备 之 间 的 距离 来 找到 它们 的 具 
体位 置 。 

e Redfang: 该 工具 用 于 发 现 所 有 隐藏 的 蓝牙 设备 。 





9.4 另 受 攻击 的 网 络 设备 








有 一 些 漏洞 是 由 网 络 设备 本 号 引 起 的 ， 这 些 漏 洞 通 第 是 制造 商 遗 留 
的 安全 问题 ， 而 一 旦 补 攻 击 者 发 现 ， 他 们 便 可 以 攻击 使 用 了 这 些 有 问题 
的 网 络 设备 的 企业 。 这 些 安全 问题 会 一 直 骏 露 在 攻击 者 面前 ， 直 到 设备 
制造 商 对 这 些 设 备 进行 修补 。 在 此 之 前 ， 企 业 难 以 将 这 些 设备 关闭 停 
用 ， 无 其 是 在 负担 不 起 停机 时 间 成 本 的 大 型 企业 中 。 因 此 ， 即 使 网 络 管 
理 员 知道 漏洞 的 存在 ， 这 些 脆弱 的 网 络 设备 也 仍然 可 能 会 处 于 使 用 中 。 
据 佑 计 ，739% 的 企业 都 在 使 用 易 受 攻击 的 网 络 设备 。 




















以 下 是 来 目 一 篇 有 关 易 受 攻击 的 网 络 设备 的 文章 片段 。 


“根据 对 北美 350 家 企业 超过 212000 台 思科 网 络 设备 的 调查 ，73% 的 
企业 正在 使 用 易 受 攻击 的 、 寿 命 终止 的 网 络 设备 ， 这 一 比例 高 于 去 年 的 


60%. ” 


这 表明 ， 网 络 管理 员 不 愿 从 网 络 中 删除 易 受 攻击 的 设备 ， 大 量 企业 
因此 而 易 遭 受 攻 击 。Linksys E1000 是 一 款 具 有 已 知 安全 漏洞 的 路 由 器 ， 
其 中 有 一 个 漏洞 多 许 攻 击 者 在 其 中 安装 恶意 软件 ， 然 后 利用 远程 管理 接 
口 ， 攻 击 者 能 够 以 这 种 方式 来 获得 网 络 的 访问 权限 。 华 硕 RT 系 列 路 由 
器 也 具有 多 个 已 知 安全 漏洞 。 这 些 漏洞 可 以 被 攻击 者 利用 ， 从 而 实施 各 
种 不 同 的 攻击 ， 例 如 未 经 身份 认证 的 网 络 访问 、 暴 露 用 户 名 和 密码 、 访 
问 存储 在 插入 路 由 器 的 可 移动 设备 中 的 内 容 ， 以 及 重新 配置 路 由 器 。 网 
络 设备 中 还 有 许多 其 他 的 漏洞 ， 据 估计 ， 有 73% 的 设备 是 易 受 攻击 的 。 














9.5 ”小结 


本 章 将 网 络 和 通信 协议 视 为 入 侵 的 入 口 ， 解 释 了 为 什么 这 两 类 攻击 
会 在 网 络 攻击 领域 占据 如 此 重要 的 地 位 。 本 章 介 绍 了 几 种 已 经 不 安全 和 
易 被 攻击 者 利用 的 网 络 协 议 ， 例 如 SMTP、SSL 和 DNS。 本 章 讲述 了 针 
对 这 些 协议 的 攻击 方式 和 案例 ， 还 介绍 了 一 些 常 见 的 网 络 攻 击 示 例 ， 如 
包 嗅 探 和 DDoS 。 





然后 ， 本 章 将 重点 转移 到 Web 服 务 器 和 基于 Web 的 系统 ， 这 是 男 一 
种 黑客 喜欢 的 攻击 场景 。 本 章 讨论 了 一 些 用 于 破坏 基于 Web 的 系统 的 攻 
击 技术 ， 包 括 SQL 注 入 、 绥 冲 区 溢出 、 谷 歌 高 级 搜索 和 和 姑 力 破解 。 本 章 
仔细 研究 了 旨 在 破解 密码 的 暴力 攻击 ， 然 后 讨论 了 两 种 破解 密码 的 特别 





有 效 的 工具 : Medusa 和 Brutus。 企 业已 经 通过 在 基于 Web 的 系统 中 加 入 
额外 的 安全 层 来 适应 各 种 威胁 ， 最 常见 的 保护 形式 是 验证 码 、 双 因素 续 
份 认 证 和 防火 墙 。 本 章 研 究 了 与 此 相关 的 问题 ， 并 讲述 了 如 何 绕 过 它 

iiis 





最 后 ， 本 章 研究 了 无 线 网 络 攻击 ， 重 点 介绍 了 无 线 和 蓝牙 相关 的 内 
容 。 本 章 讨 论 了 用 于 攻击 无 线 网 络 的 工具 ， 例 如 Aircrack-ng、Wireshark 
和 Kismet。 然 后 ， 本 章 研 究 了 蓝牙 并 列 出 了 其 缺陷 。 本 半 介 绍 了 用 于 攻 
击 蓝 牙 的 各 种 方法 ， 以 及 相关 的 工具 。 


第 10 章 将 深入 介绍 什么 是 网 络 安 全 事件 以 及 如 何 建 并 事件 啊 应 计 
划 。 


第 10 章 ”应 对 服务 中 断 


没有 任何 企业 可 以 幸免 于 网 络 攻 击 ， 企 业 需 要 假定 它们 已 经 或 将 会 
受到 攻击 。 企 业 平 均 需 要 180 天 的 时 间 才 能 发 现 目 己 被 入 侵 了 ， 这 意味 
着 ， 在 180 天 内 ， 系 统 的 安全 性 处 于 未 知 状态 。 许 多 企业 热 束 于 购买 最 
新 技术 ， 当 发 生 网 络 攻 击 并 且 造 成 服务 中 断 时 ， 却 又 疑惑 为 什么 这 些 新 
技术 没 能 帮助 防范 、 检 测 或 响应 网 络 攻击 。 这 些 企业 忘记 了 网 络 安全 是 
基于 技术 、 人 员 和 流程 这 3 个 要 素 的 ， 如 图 10-1 所 示 。 





图 10-1 


技术 的 好 坏 取 决 于 对 它 儿 责 的 人 员 ， 只 有 经 受过 专业 训练 的 人 员 才 
可 以 将 技术 运用 熟练 ， 同 时 ， 流 程 也 需要 经 过 测试 和 优化 。 企 业 可 以 拥 
有 最 好 的 技术 ， 但 是 如 果 员 工 没 有 接受 过 技术 培训 ， 或 者 企业 没有 恰当 
地 使 用 流程 ， 那 么 这 只 会 浪费 预算 。 本 章 将 深入 介绍 什么 是 网 络 安全 事 








件 以 及 如 何 建 立 事件 响应 计划 。 
10.1 网 络 安全 事件 


根据 ISO/IEC TR 18044:2004， 网 络 安全 事件 被 定义 为 “单个 或 一 系 
列 不 希望 发 生 的 或 意料 之 外 的 信息 安全 事件 ， 这 些 事件 可 能 会 对 企业 运 
营 和 信息 安全 构成 重大 威胁 ”。 发 生 网 络 安全 事件 时 ， 由 于 单个 或 多 个 
IT 服务 可 能 会 受到 影响 ， 这 往往 会 导致 











服务 中 断 。 这 些 IT 服 务 可 能 已 被 破坏 ， 无 法 恢复 或 者 被 进 宕 机 ， 或 
者 正在 被 攻击 者 监视 ， 并 且 阻 止 员工 正常 工作 。 在 大 多 数 情况 下 ， 攻 击 
者 会 根据 网 络 攻击 链 ， 将 恶意 软件 注入 网 络 中 。 按 照 定义 ， 网 络 安全 事 
件 要 么 是 过 去 发 生 的 ， 要 么 是 正在 发 生 的 。 威 胁 形势 在 不 断 演变 ， 这 对 
于 网 络 安全 是 一 个 挑战 ， 但 与 此 同时 ， 也 是 所 有 企业 的 机 会 ， 无 论 其 所 
属 什么 行业 、 地 理 位 置 、 规 模 。 





10.2 ”基础 


在 制订 事件 啊 应 计划 之 前 ， 有 必要 了 解 一 些 基 础 知识 ， 以 确保 企业 
顺利 处 理 网 络 安全 事件 。 在 建立 事件 啊 应 计划 之 前 ， 要 做 好 几 个 关键 方 
面 的 准备 。 





10.2.1 数据 


网 络 安全 专家 币 会 谈论 如 何 保护 公司 的 核心 资产 ， 例 如 客户 数据 、 





研究 论文 或 者 财务 记录 。 即 使 在 服务 中 断 或 最 严重 的 网 络 攻击 期 间 ， 企 
业 也 要 确保 这 些 数据 得 到 了 足够 的 保护 。 为 了 实现 这 一 目标 ， 企 业 首 先 
需要 了 解 存在 哪些 数据 、 数 据 存 储 的 位 置 以 及 这 些 数据 在 哪些 情况 下 被 
谁 访 问 。 攻 击 者 的 首要 动机 之 一 是 造成 数据 泄露 ， 因 此 ， 对 企业 而 言 ， 
了 解 这 些 数 据 以 及 知道 如 何 保护 它们 是 至 关 重 要 的 。 企 业 需 要 确保 拥有 
必要 的 见 余 ， 以 及 能 够 在 需要 时 进行 灾难 恢复 。 图 10-2 所 示 为 保护 数据 
的 方式 。 





3 2 1 
eee 
复制 所 有 数据 本 地 单独 备份 云 异 地 备份 
图 10-2 


10.2.2 ”监测 

企业 的 物理 安全 团队 会 通过 闭路 电视 监测 潜在 的 物理 安全 事件 。 在 
IT 领域 也 是 如 此 ， 企 业 需 要 能 够 尽快 发 现 网 络 安全 事件 。 为 了 做 到 这 一 
点 ， 企 业 需 要 部 署 相应 计划 和 进行 适当 的 监测 。 


10.2.3 ”攻击 面 分 析 


攻击 面 分 析 考 夸 了 攻击 者 可 能 会 如 何 破坏 系统 并 导致 服务 中 断 的 所 


有 方面 ， 它 可 以 帮助 企业 更 好 地 了 解 系统 中 存在 的 潜在 风险 与 漏洞 。 攻 
击 面 分 析 涵 盖 了 软件 、 网 络 漏 洞 以 及 人 员 等 各 方面 ， 图 10-3 摘 述 了 攻击 
面 分 析 的 过 程 。 


攻击 而 — ERT 
坟 减 少 平衡 


减少 
人 员 攻 击 而 


网 络 攻击 面 r 
系统 攻击 面 J 


风险 得 到 
控制 





图 10-3 
10.2.4 供应 商 管理 


在 处 理 网 络 安全 事件 、 制 订 事 件 啊 应 计划 ， 以 及 应 对 服务 中 断 时 ， 
供应 商 管理 也 许 不 是 脑海 中 出 现 的 第 一 件 事 ， 但 这 无 疑 是 与 该 领域 有 所 
关联 的 。 当 新 的 供应 商 加 入 供应 链 中 时 ， 甲 乙 双 方 将 一 起 商量 彼此 之 间 
开展 合作 的 各 项 条 款 。 如 今 ， 许 多 企业 开始 审查 他 们 现 有 的 合同 ， 以 确 
保 供 应 商 在 安全 事件 处 理 期 间 的 各 项 要 求 已 被 包含 在 内 。 许 多 企业 强制 
和 要求 供应 丙 在 发 现 网 络 攻击 时 立即 通知 他 们 。 作 为 事件 啊 应 计划 的 一 部 
分 ， 在 和 供应 商 签订 的 合同 条 丈 中 ， 还 应 该 确保 企业 拥有 审计 权 。 














10.3 ”事件 啊 应 和 管理 


制订 和 实施 事件 啊 应 计划 : 成 功 的 事件 啊 应 和 管理 方法 可 以 确保 企 
业 的 信息 得 到 保护 ， 从 而 在 服务 中 断 时 可 以 尽 可 能 快 地 做 出 检测 和 响 
应 。 安 全 运营 中 心 (Security Operations Center, SOC) 的 员工 需要 遵 
循 事件 响应 计划 ， 尺 快 纠 正 任何 潜在 的 违规 行为 。 图 10-4 显 示 了 本 章 将 
详细 介绍 的 最 常用 的 事件 啊 应 计划 方法 。 








图 10-4 


10.3.1 阶段 1 一 一 准备 


准备 阶段 是 事件 啊 应 计划 的 开始 ， 它 总 结 了 在 网 络 安全 事故 发 生前 
进行 的 所 有 活动 。 该 阶段 的 核心 是 制定 事件 啊 应 的 工作 流程 。 重 要 的 
是 ， 事 件 啊 应 计划 过 程 中 创建 的 文档 并 不 是 被 创建 后 束 再 也 不 会 被 使 用 
了 ， 而 是 会 成 为 安全 运营 团队 内 部 可 以 持续 使 用 和 更 新 的 文档 。 当 企业 
开始 制订 事件 啊 应 计划 时 ， 通 常会 重新 评估 当前 的 安全 控制 措施 ， 并 将 
其 与 行业 和 供应 商 的 最 佳 实践 进行 比较 ， 在 这 个 过 程 中 可 以 帮助 企业 发 
现 未 知 的 薄弱 点 。 企 业 在 处 理 网 络 安 全 事件 的 过 程 中 会 不 断 成 熟 并 积累 











更 多 的 经 验 ， 这 会 帮助 企业 进一步 优化 事件 啊 应 计划 。 尽 管 团队 中 的 个 
人 会 经 历 不 少 网 络 攻击 和 服务 中 断 ， 然 而 这 些 都 可 以 成 为 团队 学 习 的 机 


会 。 


10.3.2 ”阶段 2 一 ”检测 和 分 析 


在 检测 和 分 析 阶 段 ， 安 全 运营 团队 需要 确认 网 络 安全 事件 是 人 否 真 实 
存在 ， 并 在 得 到 确认 后 迅速 确定 该 网 络 安全 事件 的 影响 范围 。 团 队 需 要 
能 够 快速 确定 某 个 特定 活动 是 由 实际 员工 发 起 的 ， 还 是 由 潜在 攻击 者 模 
仿 员 工行 为 发 起 的 。 例 如 ， 当 Microsoft Word 在 一 个 终端 启动 时 ， 并 不 
意味 着 攻击 者 正在 执行 恶 音 动作， 世界 上 几乎 所 有 的 企业 都 在 使 用 
Microsoft Word， 这 一 类 型 的 个 人 行为 是 恶意 攻击 的 可 能 性 很 小 。 但 
是 ， 在 分 析 过 程 中 ， 如 果 发 现 Microsoft Word 是 被 PowerShell 脚 本 拉 起 后 
台 执 行 的 ， 就 不 太 可 能 是 正常 的 员工 行为 了 。 而 这 只 是 需要 详细 分 析 细 
市 的 大 量 情况 中 的 一 个 。 





























10.3.3 ”阶段 3 一 一 抑制 


抑制 阶段 是 事件 啊 应 计划 中 最 重要 的 阶段 之 一 。 在 此 阶段 的 执行 过 
程 中 ， 很 有 可 能 会 导致 服务 的 中 断 ， 但 为 了 确保 不 会 造成 进一步 的 损 
害 ， 这 一 步 公关 重 要 。 在 此 阶段 ， 安 全 团队 将 尝试 控制 局 势 。 如 果 不 对 
安全 事件 进行 抑制 ， 结 果 将 会 产生 很 高 的 风险 ， 除 了 短期 损害 之 外 ， 还 
可 能 会 造成 指数 级 的 中 长 期 损害 。 请 想象 这 样 一 个 不 包含 抑制 阶段 的 网 
络 攻击 场景 : 安全 团队 恢复 开 服 务 ， 但 是 该 服务 一 恢复 便 再 次 遭受 攻 





击 。 这 是 因为 在 进行 服务 恢复 之 前 ， 网 络 安全 事件 并 未 得 到 有 效 抑 制 。 
10.3.4 ”阶段 4 一 一 根除 和 恢复 


根除 和 恢复 是 两 个 单独 的 过 程 ， 尽 管 它们 可 能 会 同时 发 生 。 通 过 根 
除 ， 企 业 可 以 确保 与 网 络 安全 事件 相关 的 所 有 组 件 补 移 除 ， 例 如 删除 恶 
意 软 件 、 删 除 钓鱼 攻击 中 收 到 的 电子 邮件 、 禁 用 受 危害 的 账户 。 恢 复 过 
程 是 企业 期 望 安全 团队 尽快 执行 的 过 程 ， 但 重要 的 是 不 要 匆忙 ， 保 持 冷 
静 ， 并 遵循 事件 啊 应 计划 。 请 记 住 ， 在 进行 恢复 时 ， 需 要 确保 在 恢复 后 
攻击 者 不 会 立刻 再 次 破坏 它 。 此 步骤 包括 将 系统 恢复 到 可 操作 阶段 ， 还 
包括 对 系统 进行 加 固 以 确保 相同 的 攻击 模式 不 会 再 次 起 作用 。 

















10.3.5 ”阶段 5 一 一 事后 处 理 


结束 服务 中 断 并 使 业务 得 以 恢复 运行 固然 重要 ， 但 解决 网 络 安全 事 
件 后 进行 事后 调查 也 同样 重要 。 网 络 安全 是 一 个 持续 学 习 和 提升 的 过 
程 ， 只 有 汲取 以 往 的 经 验 教训 ， 企 业 才 能 真正 提高 其 网 络 安全 实践 的 成 
熟 度 。 在 事后 处 理 阶段 ， 团 队 对 网 络 安全 事件 进行 回顾 ， 深 入 了 解 网 络 
安全 事件 最 初 是 如 何 发 生 的 ， 可 以 采取 哪些 措施 来 防止 网 络 安全 事件 的 
发 生 ， 以 及 如 何 改 进 事件 响应 的 方法 。 事 后 处 理 阶 段 的 发 现 直 接 影响 着 
阶段 1《〈 准 备 阶 段 ) 的 执行 方式 。 





10.4 ”小结 


在 本 章 中 ， 你 可 以 了 解 到 网 络 安 全 不 仅仅 是 技术 问题 ， 技 术 的 效果 
取决 于 使 用 它 的 人 ， 网 络 安全 是 关于 技术 、 人 员 和 流程 的 。 当 服务 中 
断 ， 攻 击 者 出 现在 系统 环境 中 时 ， 请 保持 冷静 ， 因 为 恐慌 常会 导致 错 
误 。 本 章 介绍 了 什么 是 网 络 安全 事件 ， 最 重要 的 是 ， 如 何 通 过 制订 和 实 
施 一 个 成 功 的 事故 啊 应 计划 来 应 对 服务 中 断 。 





第 11 草 将 介绍 从 领导 者 到 行动 者 ， 影 响 整个 网 络 安全 实施 的 人 为 因 
素 ， 这 其 中 包括 标准 、 政 集 、 配 置 、 体 系 架构 等 。 


第 11 革 ”人 为 因素 一 一 失败 的 治理 


人 是 网 络 安 全 最 注 弱 的 环节 。 企 业 可 以 花费 大 量 的 资源 来 建立 一 流 
的 网 络 安 全 基础 设施 ， 但 是 用 户 的 一 个 小 错误 就 可 能 会 破坏 网 络 安全 基 
础 设施 。 这 就 是 企业 在 实施 网 络 安全 计划 时 需要 考虑 人 为 因素 的 原因 ， 
但 不 季 的 是 ， 这 一 点 又 恰恰 被 很 多 企业 忽略 。 企 业 的 管理 人 员 认 为 ， 网 
络 安全 是 全 部 门 的 职责 。 因 此 ， 管 理 人 员 不 批准 为 时 在 提升 用 户 安全 意 
识 的 计划 或 措施 提供 资金 。 统 计数 据 表明 ， 人 员 是 每 年 造成 网 络 安全 损 
失 的 最 大 原因 之 一 。 根 据 美国 提供 网 络 安 全 控制 框架 的 机 构 美国 国家 标 
准 与 技术 研究 院 (National Institute of Standards and Technology, NIST) 
的 数据 ，35% 的 数据 泄露 通常 归 符 于 人 员 ， 人 为 因素 造成 的 全 球 经 济 损 
失 为 1.4 亿 美元 。47% 的 全 专业 人 士 表示 对 业务 部 门 和 网 络 安 全 部 门 的 合 
作 现 状 不 满 。 更 令 人 不 安 的 是 ， 据 说 企业 只 有 在 相关 的 安全 漏洞 发 生 后 
才 开 始 处 理 人 为 因素 。 值 得 注意 的 是 ， 安 全 漏洞 的 平均 成 本 超过 100 万 
美元 ， 攻 击 技术 和 工具 也 在 日 新 月 异地 变化 。 本 章 将 基于 以 下 主题 ， 重 
点 讨论 人 为 因素 : 





























。 业务 与 安全 ; 

。 失败 的 安全 管理 ; 

。 无 意 的 在 线 行为 ; 

。 内 部 威胁 ; 

。 金融 服务 技术 变 章 ; 
。 失败 的 安全 政策 执行 。 





11.1 业务 与 安全 


有 许多 企业 对 网 络 安全 的 认 知 存在 不 足 。 大 多 数 员 工 ， 尤 其 是 高 管 
们 认为 ， 网 络 安全 只 是 一 个 技术 问题 。 因 此 ， 确 保 所 有 用 户 免 受 各 种 形 
式 的 网 络 威胁 是 IT 部 门 的 职 贡 。 然 而 ， 他 们 也 应 该 意识 到 ， 网 络 安全 只 
由 开 部 门 负责 的 日 子 已 经 过 去 了 。 网 络 罪犯 不 断 更 新 技术 ， 不 再 只 专注 
于 攻击 网 络 和 计算 机 系统 ， 他 们 利用 新 技术 ， 使 得 攻击 变 得 更 加 复杂 。 
黑客 攻击 的 发 生 可 能 仅仅 是 因为 员工 点 击 了 某 个 链接 或 者 接听 了 某 个 电 
话 ， 也 或 许 是 利用 了 企业 的 自 携 设 备 〈Bving Your Own Device, 
BYOD) 等 政策 ， 导 致 安装 了 恶意 软件 的 个 人 设备 被 珊 入 了 企业 。 物 联 
网 设备 在 企业 中 ， 尤 其 是 在 生产 线 上 被 广泛 使 用 ， 这 也 是 网 络 安全 的 中 
梦 。 同 时 ， 供 应 链 也 是 网 络 安全 威胁 的 切入 点 之 一 。IT 部 门 无 法 应 对 所 
有 类 型 的 威胁 ， 这 就 是 为 什么 企业 中 的 每 个 人 都 需要 成 为 网 络 安全 团队 
的 一 员 。 然 而 ， 基 于 控制 成 本 的 考虑 ， 许 多 企业 选择 不 让 所 有 员工 都 接 
受 网 络 安全 培训 。 对 此 他 们 总 是 有 各 种 各 样 的 理由 ， 其 中 最 主要 的 理由 
是 : 培训 是 要 花 钱 的 ， 并 且 目 前 并 没有 看 到 任何 明显 的 威胁 存在 。 因 
此 ， 他 们 认为 企业 投资 金钱 和 时 间 来 提升 员工 的 安全 意识 是 一 种 资源 浪 
BE o 





























除 此 之 外 ， 员 工 往往 无 视 安 全 政策 ， 他 们 认为 这 是 一 种 限制 性 的 、 
耗 时 的 以 及 不 必要 的 负担 。 最 终 ， 旨 在 保障 企业 安全 的 准则 并 没有 得 到 
章 守 。 然 而 ， 员 工 和 高 管 所 持 有 的 这 一 类 观点 对 任何 企业 的 未 来 都 是 消 
极 和 危险 的 。 威 胁 在 持续 不 断 地 增加 ， 许 多 企业 ， 无 论 规模 大 小 ， 都 将 
很 快 面临 这 样 或 那样 的 威胁 。 由 于 员工 未 经 培训 ， 而 且 不 重视 安全 政 














策 ， 黑 客 可 以 很 容易 地 入 侵 企 业 。 当 企业 遭 到 攻击 时 ， 依 赖 于 计算 机 系 
统 的 服务 将 会 中 断 ， 业 务 运 营 将 被 迫 停止 ， 企 业 将 遭受 品牌 、 客 户 和 客 
户 忠诚 度 的 损失 ， 此 外 还 将 面临 一 系列 负面 影响 。 最 重要 的 是 ， 企 业 将 
为 此 承担 损失 ， 甚 至 遭受 黑客 的 勒索 。 因 此 ， 蜗 管 们 应 该 意识 到 业务 和 
网 络 安全 是 相互 交织 的 ， 没 有 网 络 安全 ， 企 业 甚至 可 能 会 破产 。 这 了 束 是 
为 什么 必须 进行 投资 以 解决 网 络 安 全 中 的 人 为 因素 ， 人 为 因素 是 每 年 所 
有 网 络 入 侵 发 生 的 主要 因素 。 








11.2 失败 的 安全 管理 





内 容 。 


11.2.1 缺乏 对 网 络 安全 措施 的 采纳 








企业 中 安全 管理 失败 的 第 一 个 原因 是 缺乏 对 网 络 安全 措施 的 采纳 。 
网 络 安全 措施 需要 得 到 企业 管理 人 员 的 采纳 ， 才 能 被 成 功 实施 。 高 管 们 
不 会 为 与 企业 目标 不 一 致 的 计划 买单 ， 因 此 ，IT 人 员 必 须 能 够 证 明 他 们 
想 要 在 企业 中 实施 的 计划 或 措施 对 企业 的 目标 是 有 益 的 。 高 管 大 多 没有 
技术 背景 ， 他 们 对 新 计划 或 措施 的 接受 往往 较 慢 。 例 如 ， 对 于 要 求 所 有 
员工 使 用 密码 管理 需 这 一 措施 ， 他 们 往往 难以 识别 出 这 一 措施 的 优点 ， 
因而 很 可 能 会 拒绝 这 一 提议 。 因 此 ，IT 安 全 经 理 需要 善于 引导 高 管 关 注 











严重 的 IT 问题 ， 解 释 这 些 问题 如 何 影响 业务 ， 然 后 从 高 管 那里 获得 支 


持 。 


11.2.2 ”缺乏 组 织 和 规划 








企业 中 安全 管理 失败 的 男 一 个 原因 是 缺乏 组 织 和 规划 。 据 说 ， 大 多 
数 IT 项 目 都 失败 了 ， 很 少 有 项 目 能 在 最 初 计划 的 范围 或 预算 之 内 结束 。 
网 络 安全 项 目 也 缺乏 适当 的 规划 。 当 IT 安全 经 理 从 高 管 那里 获得 支持 ， 
准备 执行 计划 时 ， 他 们 需要 根据 项 目的 可 交付 成 末 和 里 程 碑 进行 准备 ， 
对 结果 定义 不 准确 是 IT 项 目 失败 的 关键 因素 之 一 。 由 于 技术 技能 在 IT 项 
目 中 全 关 重 要 ， 因 此 项 目 需要 有 合适 的 人 员 配 置 。 项 目 还 需要 保持 在 范 
围 内 ， 如 果 出 现 了 超出 范围 和 预算 的 新 需求 ， 则 不 应 该 家 添加 到 项 目 
中 。 











11.2.3 ”领导 能 力 不 足 





最 后 ， 领 导 能 力 不 足 也 是 IT 项 目 失败 的 一 大 原因 。 如 果 没 有 强 有 力 
的 领导 者 ， 网 络 安全 项 目 可 能 会 迅速 失败 。 对 IT 项 目的 文 持 需 要 从 初始 
阶段 持续 到 完成 阶段 。 如 果 茶 个 项 目 是 要 对 员工 进行 社会 工程 学 攻击 方 
面 的 培训 ， 那 么 安全 部 门 的 领导 需要 有 社会 工程 方面 的 经 验 ， 并 且 要 有 
一 个 经 过 深思 熟 虚 的 计划 来 对 员工 进行 分 批 培 训 。 如 果 没 有 强 有 力 的 领 
导 ， 一 些 初 级 员工 甚至 会 认为 这 是 在 浪费 时 间 ， 从 而 不 来 参加 培训 。 如 
果 项 目 在 如 何 实施 方面 存在 冲突 ， 则 需要 强 有 力 的 领导 来 做 出 处 理 与 决 
WT- 























11.3 无 意 的 在 线 行为 


随 痢 网 络 攻 击 中 社会 工程 的 兴起 ， 以 及 越 来 越 多 地 使 用 高 效 恶 意 软 
件 ， 员 工 的 在 线 行为 可 能 会 将 企业 置 于 被 攻击 的 风险 中 ， 或 者 成 为 攻击 
发 生 的 诱因 。 有 许多 企业 遗 受 了 网 络 诈骗 的 威胁 ， 还 有 一 些 企业 员工 在 
网 络 上 的 无 意 行为 导致 恶意 软件 植 入 员工 的 计算 机 。 对 员工 在 企业 网 络 
中 可 以 做 什么 和 不 能 做 什么 进行 划分 是 很 有 必要 的 ， 在 这 个 过 程 中 ， 主 
要 的 挑战 是 员工 们 认为 他 们 的 无 意 行为 不 会 给 企业 带 来 损失 。 图 11-1 展 
示 了 钓鱼 邮件 中 的 恶意 链接 。 








‘Subject: Final reminder: Notice of Tax Return 

| = Sent By IRS Orine” <remindegirst.com> Ont Apri 10, 2013 3256 PM 
| To: riosed ferbents:; 

| Reply To: roreply@irsm.com 








一 这 看 起 来 似乎 是 一 封 官 
yí IRS 方 邮件 ， 自 称 来 自 IRS 
Sito: 7 ea a. SSS ay elie i 1 
二 of the eles 并 且 还 iE 了 相应 的 
Internal Revenue Service Logo 

ae aes 

Referance: T3H583 326/1 

Claim Your Tax und On: 

D Taxpayer 

we identified ar in the calculat of your tax from La A 4R, 
the la: st pa sake a to $ 319 $ coi ai ib 内 容 让 人 觉得 

难以 置信 
1r: e 全 payment, you need to 
count after v ch ae funds will be 
jited y pecified bank acct 


Please click "Get Started" below to claim your refund: 


a s 将 鼠标 指针 悬 移 到 超 链 接 上 ， 但 是 注意 不 要 点 击 该 链接 


at 你 可 以 在 这 里 看 到 真实 的 链接 地 址 


careybaptist ad 
| > 
图 11-1 


企业 中 的 安全 经 理 不 得 不 处 理 的 无 意识 的 在 线 行为 之 一 便 是 员工 
击 了 陌生 人 发 来 的 电子 邮件 中 的 链接 。 员 工 应 该 被 告知 ， 点 击 链接 后 到 
意 软 件 将 可 能 被 下 载 并 上 自动 安装 在 计算 机 中 ， 还 有 许多 恶意 网 站 会 其 统 





用 户 下 载 和 安装 恶意 软件 。 曾 经 有 网 络 钓 鱼 诈骗 的 案例 ， 黑 客 利 用 假冒 
的 电子 邮件 “例如 Paypal) 回收 件 人 提供 可 禄 取信 息 的 恶意 网 站 链接 。 
员工 可 能 不 了 解 这 些 骗局 ， 因 此 需要 警告 他 们 不 要 点 击 此 类 链接 。 











为 一 种 无 意 行为 是 员工 在 公司 计算 机 上 访问 恶意 网 站 。 有 的 网 站 声 
称 提供 某 些 免 费 服务 ， 例 如 免费 下 载 电影 、 免 费 下 载 软件 等 。 然 而 ， 其 
中 一 些 站 点 具有 恶意 软件 ， 往 往 是 间谍 软件 或 广告 软件 。 访 问 者 在 下 载 
免费 资源 的 同时 ， 也 下 载 了 这 些 亚 意 软件 。 当 这 些 恶意 软件 被 安装 在 企 
业 的 计算 机 上 时 ， 它 们 很 可 能 会 迅速 传播 并 感染 其 他 计算 机 和 服务 器 。 
因此 ， 一 个 员工 的 无 意 行 为 会 影响 整个 企业 ， 这 些 恶 意 软件 可 能 会 对 公 
司 造成 毁灭 性 的 影响 ， 例 如 密码 被 广泛 禄 取 ， 或 者 在 计算 机 上 不 断 弹出 
烦人 的 广告 。 








事实 证 明 ， 许 多 员工 会 无 意 在 社交 媒体 上 泄露 私人 信息 。 由 于 受到 
大 多 数 社交 媒体 网 站 辟 吹 的 “分 享 一 切 ” 这 一 文化 的 有 影响， 员工 们 可 能 会 
在 上 面 分 享 自己 的 工作 地 点 、 职 称 甚至 是 办 公 室 的 照片 。 曾 有 和 案例， 一 
名 芽 员工 在 Facebook 上 确认 了 自己 的 工作 地 点 和 兴趣 爱好 ， 黑 客 盯 上 了 
他 ， 并 伪造 了 一 个 具有 相同 爱好 的 漂亮 女孩 的 资料 。 攻 击 进行 得 很 顺 
利 ， 这 名 员工 下 载 了 黑客 通过 虚假 里 份 发 来 的 恶意 软件 。 科 和 运 的 是 ， 该 
企业 有 一 个 强大 的 防 病毒 系统 ， 阻 止 了 恶意 软件 执行 和 感染 该 员工 的 计 
算 机 。 许 多 类 似 的 案件 都 没有 这 样 注 运 的 结局 。 许 多 社会 工程 学 攻击 之 
所 以 发 生 ， 正 是 因为 员工 在 社交 媒体 上 泄露 了 关键 信息 。 他 们 在 自己 的 
个 人 资料 中 更 新 了 大 量 的 信息 ， 这 些 信 息 可 能 会 被 攻击 者 用 社会 工程 学 
技术 加 以 利用 并 发 起 攻击 。 




















11.4 内 部 威胁 


图 11-2 说 明了 内 部 威胁 产生 的 原因 。 
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。 违反 行为 准则 内 部 威胁 的 常见 因素 


图 11-2 


内 部 威胁 是 对 企业 最 大 的 威胁 之 一 。 内 部 威胁 是 指 那些 会 对 企业 发 
起 攻击 的 内 部 员工 ， 或 者 帮助 攻击 者 对 企业 进行 攻击 的 内 部 员工 。 由 于 
他 们 拥有 大 量 的 敏感 信息 以 及 企业 授予 他 们 的 特权 ， 因 此 尤其 危险 。 内 
部 威胁 可 以 在 企业 内 部 进行 黑客 攻击 ， 因 为 他 们 熟知 企业 已 经 采取 了 哪 
些 安全 措施 ， 所 以 他 们 可 以 把 这 些 捕 施 透露 给 黑客 ， 并 告知 其 应 该 发 起 
哪些 类 型 的 攻击 。 如 末 企 业 使 用 了 防火 墙 ， 他 们 可 以 告诉 黑客 该 防火 增 
的 品牌 和 型 号 ， 以 便 黑 客 研究 在 该 场景 下 可 以 利用 的 漏洞 。 





内 部 威胁 拥有 许多 系统 的 访问 权限 ， 他 们 可 以 通过 这 些 系统 中 的 号 
份 认 证 。 因 此 ， 他 们 可 以 与 黑客 共享 这 些 登 录 信 息 ， 以 帮助 黑客 更 容易 
地 进入 系统 。 具 有 较 高 特权 的 内 部 威胁 ， 例 如 系统 管理 员 ， 甚 至 可 以 隐 
藏 黑客 的 活动 踪迹 ， 因 此 更 加 危险 。 系 统管 理 员 可 以 为 黑客 创建 新 账 














性， 或 者 在 黑客 访问 系统 并 修改 或 急 取 一 些 数据 后 删除 日 志 。 这 残 是 安 
全 框架 强烈 要 求 采 用 双人 管理 制度 的 原因 ， 以 使 其 中 一 些 重 要 操作 必须 
由 多 个 管理 员 授权 。 





内 部 威胁 也 可 以 是 攻击 者 本 里， 他 们 可 能 会 为 了 金钱 利 苍 而 从 事 恶 
意 的 活动 。 苋 争 对 手 可 能 会 同 他 们 支付 报 柄 ， 以 破坏 企业 的 系统 。 他 们 
也 可 能 被 那些 对 企业 心怀 不 满 的 员工 雇佣 来 攻击 企业 中 某 个 特定 的 高 级 
员工 。 广 告 商 也 可 能 会 伦 钱 购买 他 们 从 企业 内 部 饮 取 到 的 用 户 数据 。 当 
这 些 行动 发 生 时 ， 很 难 怀 疑 到 是 内 部 人 员 造 成 的 ， 数 据 极 禄 取 可 能 会 被 
归咎 于 菏 次 神秘 的 黑客 入 侵 ， 系 统 发 生 故 障 可 能 会 被 归咎 于 系统 供应 
商 ， 针 对 特定 员工 的 攻击 也 可 能 会 被 视 为 是 外 部 实体 发 起 的 。 当 发 现 是 
内 部 威胁 时 ， 往 往 为 时 已 晚 。 























例如 ， 企 业 无 法 辨别 营销 代理 访问 邮件 列表 后 是 人 否 会 复制 这 些 邮件 
并 将 其 分 至 给 苋 争 对 手 ， 因 为 对 邮件 列表 的 访问 是 营销 代理 日 常 工作 职 
责 的 一 部 分 。 因 此 ， 内 部 威胁 已 经 成 为 企业 最 难 应 对 的 攻击 类 型 之 一 。 





企业 可 以 采取 的 用 于 减轻 内 部 威胁 的 常见 对 策 包括 以 下 几 类 。 


。 人 员 审 核 。 在 招聘 之 前 ， 人 力 资 源 管 理 人 员 需 要 对 雇员 进行 严格 的 
背景 调查 和 面试 算 选 ， 答 试 识 别 出 可 能 有 内 部 威胁 倾 问 的 雇员 。 

。 职 贡 轮换。 知 内 部 威胁 负责 敏感 数据 和 系统 ， 则 会 造成 极 大 的 危 
害 。 企 业 可 以 实施 轮 岗 计划 ， 避 免 同 一 个 员工 一 直 负 责 此 类 数据 或 
系统 ， 减 少 潜在 攻击 计划 和 执行 的 时 间 窗 口 。 

。 最 小 权限 和 职责 分 离 。 这 些 安全 控制 措施 降低 了 内 部 威胁 的 访问 权 
限 ， 从 而 防止 内 部 威胁 对 企业 造成 广泛 的 破坏 。 








11.5 ”金融 服务 技术 变革 


图 11-3 展 示 了 某 商 业 邮 件 欺 诈 的 案例 。 


From: John Doe #5 is . 
Date: July 30, 2015 at 10:27 AM EDT 
To: Jane Smith) =i per par 


Process a wire of $98,500 USD to the attached wiring instructions. This should be coded to Admin 
wi it is completed. 


John Doe 
CEO, Company Domain 


图 11-3 


传统 情况 下 ， 金 融 交 易 是 通过 物理 方式 完成 的 。 付 款 方式 为 现金 或 
文 票 ， 钱 以 现金 的 形式 存在 银行 或 企业 的 保险 箱 里 ， 很 少 有 漏洞 可 以 被 
攻击 者 利用 来 从 企业 中 非法 获取 金钱 。 然 而 ， 技 术 发 生 了 变革 ， 出 现 了 
新 的 解决 方案 来 避免 现金 处 理 的 麻烦 。 网 上 银行 彻底 改变 了 文 付 方式 ， 
企业 机 构 转 问 无 现金 区 易 ， 他 们 选择 通过 这 些 在 线 文 付 网 关 进 行 区 易 。 
PAT, tH A Be ae OF SAN» 








企业 因 黑 客 而 遭受 损失 的 案例 有 很 多 ， 令 人 恢 诈 的 是 ， 这 些 案件 中 
大 多 数 都 涉及 企业 主动 问 黑客 转账 。 攻 击 者 利用 网 络 钓鱼 攻击 诱导 企业 
转 钱 ， 有 一 种 特殊 的 网 络 钓鱼 方法 被 称 为 商业 邮件 欺诈 ， 这 一 类 攻击 已 
经 导致 企业 损失 数 百 万 美元 。 在 这 种 攻击 方式 中 ， 攻 击 者 获得 企业 高 管 
的 电子 邮件 账号 ， 然 后 通过 该 邮件 账号 同 财务 部 门 的 初级 员工 发 出 紧急 
要 求 ， 要 求 他 们 向 某 些 第 三 方 付款 。 借 口 通常 是 支付 逾期 发 票 或 快速 完 
成 交易 。 由 于 初级 员工 觉得 有 义务 满足 来 自 领 导 的 要 求 ， 尤 其 是 通过 官 


方 电子 邮箱 发 送 的 邮件 ， 因 此 他 们 会 按照 说 明 进行 操作 。 直 到 钱 被 转 
走 ， 企 业 才 意识 到 这 是 个 驴 局 。 在 作 些 情况 下 ， 和 恶 意 邮 件 诱导 员工 将 钱 
转移 到 据 称 是 承包 商 或 供应 商 的 离 尾 账 尸 。 这 一 欺诈 攻击 让 许多 企业 者 
中 招 了 ， 如 果 不 是 因为 金融 服务 的 技术 和 变革， 很 多 企业 将 不 必 担 忧 这 一 
类 攻击 的 发 生 。 




















另 一 种 类 型 的 金钱 盗 贸 是 通过 攻击 企业 的 网 上 银行 账户 发 生 的 ， 这 
一 过 程 中 有 很 多 工具 可 以 利用 ， 例 如 间谍 软件 、 键 盘 记 录 程 序 、 屏 幕 截 
图 软件 和 浏览 器 密码 筋 取 软件 。 这 些 恶意 软件 可 以 被 发 送 和 安装 在 被 授 
权 进 行 交 易 的 财务 部 门 员 工 的 计算 机 中 。 间 谍 软 件 将 监视 计算 机 用 户 的 
一 切 行为 ， 包 括 访问 的 网 站 和 提供 的 输入 。 黑 客 将 利用 这 些 信息 访问 网 
上 银行 ， 提 供 相 同 登 录 名 来 访问 该 企业 的 资金 账户 。 键 盘 记 录 程 序 用 于 
捕获 用 户 的 按键 输入 ， 且 可 以 在 后 全 长 时 间 隐 号 运 行 。 用 户 的 按键 输入 
被 记录 在 黑客 有 权限 访问 的 日 志文 件 中 ， 黑 客 只 需要 在 其 中 寻找 网 上 银 
行 的 URL 以 及 随后 输入 的 用 户 名 和 密码 即 可 。 屏 幕 截图 软件 可 以 从 拥 
有 网 银 账 吕 的 用 户 那 里 入 取 和 凭据。 最 后 ， 还 有 专门 从 浏览 器 禄 取 窗 码 的 
恶意 软件 。 根 据 员工 的 习惯 ,他 们 为 了 方便 会 将 密码 保存 在 浏览 器 中 ， 
以 便 下 次 访问 网 银 时 能 够 轻松 登录 。 然 而 ， 这 也 成 为 许多 黑客 的 目标 ， 
他 们 可 以 利用 工具 禄 取 浏 览 右 中 的 凭据 。 








最 后 ， 财 务 部 门 也 面临 着 内 部 威胁 的 挑战 ， 这 些 内 部 威胁 相当 人 危 
险 ， 因 为 他 们 可 以 精心 策划 攻击 ， 他 们 还 可 以 使 目 己 看 起 来 像 是 受害 
者 ， 而 不 是 後 事 者 。 由 于 大 多 数 企业 部 依赖 于 财务 部 门 的 员工 同 供应 商 
和 承包 商 付 蒜 ， 因 此 内 部 威胁 可 能 会 村 致 企业 向 虚构 的 供应 商 或 承包 商 














付款 。 他 们 甚至 可 以 将 未 开具 发 标的 球 项 支付 到 自己 私下 的 账户 中 。 呐 
要 在 财务 部 门 工作 ， 他 们 就 很 容易 隐藏 目 己 的 行踪 ， 让 包括 审计 师 在 内 
的 任何 人 都 难以 奶 踊 这 些 付款 。 网 上 银行 和 用 于 财务 管理 的 ERP 系 统 使 
这 一 威胁 成 为 可 能 ， 这 些 系统 可 以 很 容易 完成 支付 并 且 隐 藏 踪迹 。 











11.6 ”失败 的 安全 政策 执行 


几乎 每 个 企业 都 有 一 套 安全 政策 ， 这 些 政策 的 创建 是 为 了 提供 有 关 
如 何 始终 确保 企业 安全 的 指导 。 安 全 政策 处 理 的 威胁 场景 范围 广泛 ， 包 
括 关 于 密码 、 用 户 特权 、 审 计 、 企 业 设备 和 服务 的 获取 以 及 企业 资源 的 
使 用 等 方方面面 的 指导 。 为 了 确保 安全 ， 这 些 政策 往往 俩 于 严格 。 然 
而 ， 只 有 少数 企业 执行 了 这 些 安 全 政策 。 











安全 政策 执行 失败 的 原因 之 一 是 员工 没有 遵守 安全 政策 。 如 果 员 工 
知道 这 些 政策 ， 但 却 不 遭 守 ， 则 会 将 企业 置 于 危险 之 中 。 如 果 安 全 政策 
茶 止 在 密码 中 使 用 姓名 和 出 生日 期 ， 但 员工 却 执意 如 此 ， 企 业 将 面临 员 
工 账号 被 黑客 使 用 密码 破解 器 攻击 的 风险 。 不 如 守 规则 也 是 安全 政 集 执 
行 失 败 的 一 种 原因 ， 如 果 员 工 偷偷 这 么 做 ， 惑 会 为 企业 带 来 未 知 的 风 


险 。 





缺乏 强制 执行 也 是 安全 政策 执行 失败 的 一 个 原因 。 在 企业 中 ， 不 遵 
守 安 全 政策 通常 不 会 受到 惩罚 。 员 工 访问 恶意 网 站 、 点 击 陌生 人 的 邮件 
链接 、 将 公司 数据 复制 到 个 人 设备 ， 以 及 在 社交 媒体 上 发 布 敏感 信息 
等 ， 昌 然 违反 了 安全 政策 ， 但 却 没 有 对 他 们 采取 任何 明确 的 签 避 措施 。 
这 些 问题 会 划 延 到 其 他 员工 员 上， 仅仅 是 因为 他 们 看 到 上 自己 的 同事 这 样 
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做 了 却 没有 给 目 己 或 公司 带 来 任何 负面 影响 。IT 部 门 没有 做 到 强制 执行 
安全 政策 ， 也 许 是 因为 还 承担 了 许多 其 他 的 责任 ， 或 者 是 因为 难以 辨别 
谁 违反 了 政策 ， 又 或 者 是 因为 下 于 管理 。 如 采 缺 乏 对 这 些 政策 的 强制 执 
行 ， 那 么 便 违 背 了 制定 这 些 政 集 的 目的 。 卫 部 门 只 有 认真 对 待 安 全 政 集 
的 实施 ， 才 能 避免 许多 攻击 。 然 而 ， 由 于 强制 执行 和 遵从 性 是 由 人 为 因 
素 决 定 的 ， 因 此 存在 着 很 高 的 不 合 规 率 。 











最 后 ， 安 全 政策 未 能 成 功 实施 ， 上 级 也 难 辞 其 和 谷 。 这 是 因为 他 们 有 
目 己 高 于 准则 的 观念 ， 所 以 他 们 往往 是 最 先 违反 安全 政策 的 。 巧 合 的 
是 ， 由 于 所 承担 的 职务 ， 他 们 无 法 为 自己 的 行为 承担 后 果 。 例 如 ， 如 果 
主管 没有 为 账号 使 用 强 密码 ， 他 们 将 不 会 受到 IT 安全 经 理 的 惩 姑 。 此 
外 ， 初 级 IT 员 工 不 会 随意 去 警告 没有 遵守 茶 些 安全 政策 的 高 管 。 高 管 们 
认为 ， 开 部 门 应 该 处 理 与 该 行业 网 络 安全 相关 的 所 有 事情 ， 因 此 ， 确 保 
系统 受到 保护 的 职责 应 该 由 IT 部 门 来 承担 ， 但 是 高 管 却 并 不 愿意 在 这 方 
面 投入 精力 并 设置 严格 的 密码 。 高 管 们 还 将 这 些 政策 看 作 费 时 的 及 烦 
事 ， 只 有 当 网 络 入 侵 给 公司 造成 巨额 损失 或 损害 其 声誉 时 ， 高 管 们 才 会 
看 到 安全 政策 的 必要 性 。 
































11.7 Ae 








本 章 探 讨 了 影响 网 络 安全 的 一 些 人 为 因素 ， 讨 论 了 由 人 为 因素 造成 
的 攻击 和 损失 的 现状 。 本 章 还 探讨 了 高 管 们 在 业务 和 网 络 安全 之 间 的 考 
量 。 有 的 高 管 认为 ， 企 业 投入 资金 用 于 网 络 安 全 产品 是 一 种 资源 浪费 。 
网 络 安全 是 昂 贯 的 ， 并 非 所 有 组 织 都 愿意 投入 所 需 的 资源 ， 尤 其 是 和 看 














起 来 对 企业 更 有 回报 的 优先 事项 相对 比 时 。 因 此 ， 由 于 这 样 的 抉择 ， 企 
业 的 安全 性 做 得 并 不 好 ， 很 容易 受到 攻击 。 最 终 ， 企 业 所 遭受 的 损失 将 
超过 安 厂 网 络 安全 产品 或 增 训 员工 的 成 本 。 本 章 还 研究 了 安全 管理 失败 
的 问题 。 网 络 安 全 是 掌握 在 IT 安全 经 理 手 中 的 ， 如 果 他 们 的 领导 能 力 很 
差 ， 企 业 的 网 络 安全 将 是 不 乐观 的 。 如 果 IT 安 全 经 理 不 能 从 高 管 那里 获 
得 文 持 ， 不 能 正确 地 计划 项 目 ， 不 能 很 好 地 领导 项 目 团队 ， 那 么 大 多 数 
安全 项 目 部 会 失败 ， 从 而 使 企业 其 露 在 威胁 之 下 。 无 意 的 网 络 行为 被 认 
为 是 造成 网 络 安全 中 人 为 因素 问题 的 最 主要 原因 。 已 有 许多 现 有 的 攻击 
案例 是 由 于 员工 在 网 上 的 无 意 行为 造成 的 ， 例 如 员工 在 公司 的 计算 机 上 
安装 了 恶意 软件 、 浏 览 恶 意 网 站 、 用 公司 设备 点 击 陌 生 人 发 来 的 邮件 链 
接 ， 此 外 ， 他 们 还 在 社区 网 站 上 提供 了 许多 对 攻击 者 有 用 的 信息 。 通 过 
这 些 方式 ， 他 们 已 经 把 企业 置 于 被 黑客 攻击 的 风险 中 。 









































本 章 还 研究 了 内 部 威胁 ， 由 于 内 部 威胁 拥有 大 量 敏感 信息 与 系统 访 
问 权 限 ， 因 此 被 视 为 企业 面临 的 最 大 威胁 之 一 。 金 融 服 务 技 术 的 变 单 也 
征 网 络 安全 中 与 人 为 因素 相关 的 问题 。 由 于 采用 了 企业 资金 管理 和 回 供 
应 商 和 承包 商 转账 的 技术 ， 企 业 员 工 成 为 黑客 的 目标 。 最 后 ， 失 败 的 安 
全 政策 执行 也 是 网 络 安全 中 人 为 因 系 面临 的 挑战 ， 本 章 介 绍 了 这 些 政 集 
执行 失败 而 将 企业 置 于 危险 之 中 的 人 为 原因 。 








第 12 章 将 介绍 各 种 网 络 模型 及 其 安全 风险 。 


第 12 章 ”安全 边界 和 资产 保护 


为 了 保护 资产 而 设置 安全 边界 是 一 个 非常 广泛 的 话题 ， 本 章 的 重点 
将 放 在 IT 边界 安全 。 边 界 安 全 的 实现 方式 有 多 种 ， 但 其 核心 是 对 已 知 和 
未 知 的 威胁 进行 安全 控制 ， 同 时 做 出 基于 风险 的 决策 。 





“主要 的 网 络 风险 之 一 是 认为 它们 不 存在 ， 为 一 种 风险 是 设法 处 理 
所 有 潜在 风险 。” 


一 一 斯 带 分 : 纳 波 (Stephane Nappo) 


IT 边界 安全 计划 将 证 明 你 的 安全 体系 结构 、 正 在 使 用 的 技术 和 已 建 
芯 的 流程 是 人 否 能 够 防止 网 络 攻 击 ， 以 及 当 攻 击 最 终 发 生 时 ， 你 能 够 以 多 
快 的 速度 检测 和 响应 它们 。 历 史上 ， 许 多 企业 依赖 于 单 信 任 网 络 模型 。 
在 这 种 模型 下 ， 企 业 只 有 一 个 安全 边界 ， 一 旦 这 个 边界 被 突破 ， 攻 击 者 
就 可 以 完全 进入 公司 网 络 。 这 是 网 络 犯 罪 分 子 能 够 在 网 络 内 部 迅速 地 行 
动 ， 并 在 破坏 一 个 终端 后 的 几 分 钟 或 几 小 时 内 摧毁 整个 基础 设施 的 原 
因 。 网 络 安全 中 最 大 的 问题 之 一 是 企业 一 直 在 不 断 退 求解 决 特定 网 络 威 
胁 的 新 技术 。 在 过 去 的 几 年 里 ， 大 量 的 研究 致力 于 IT 边界 安全 ， 这 引领 
了 诸如 双重 信任 网 络 模型 和 零 信 任 网 络 模型 的 创新 。 本 章 将 深入 探讨 最 








常用 的 IT 边界 安全 模型 一 一 单 信任 网 络 模型 ， 然 后 分 享 对 双重 信任 网 络 
模型 的 理解 ， 最 后 介绍 零 信任 网 络 模型 。 


12.1 网 络 模型 


在 深入 研究 终端 安全 性 之 前 ， 让 我 们 先 了 解 各 种 可 用 的 网 络 模型 。 
正如 前 面 指 出 的 ， 当 今 大 多 数 企 业 都 使 用 单 信 任 网 络 模型 ， 但 是 在 过 去 
几 年 里 ， 许 多 企业 已 经 开始 转向 使 用 双重 信任 甚至 零 信任 网 络 模 型 。 











12.1.1 单 信任 网 络 模型 


单 信任 网 络 模 型 是 最 常用 的 开 边 界 网 络 模 型 。 它 基于 以 下 假设 : 一 
些 防火 墙 可 以 控制 从 外 部 到 内 部 的 网 络 。 


目前 许多 企业 使 用 的 单 信 任 网 络 模型 的 问题 在 于 ， 它 对 外 部 威胁 的 
保护 不 足 ， 且 对 内 部 威胁 未 做 保护 。 如 果 攻 击 者 在 网 络 边界 之 外 ， 他 们 
所 需要 做 的 就 是 攻破 安全 边界 ， 从 而 获得 完全 访问 该 网 络 边界 内 所 有 终 
端 和 基础 设施 的 权限 。 一 旦 网 络 犯罪 分 子 对 其 中 一 个 终端 有 访问 权限 ， 
就 能 够 横 问 移动 ， 快 速 进 入 企业 内 部 网 络 环境 中 ， 如 图 12-1 所 示 。 
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图 12-1 


12.1.2 ”双重 信任 网 络 模型 





双重 信任 网 络 模型 与 单 信任 网 络 模型 非常 相似 ， 都 具有 相同 的 外 部 
边界 ， 如 图 12-2 所 示 。 这 两 种 网 络 模型 的 区 别 在 于 双重 信任 网 络 模型 附 
加 了 额外 的 内 部 层 ， 它 位 于 公司 网 络 和 外 部 网 络 之 间 ， 由 额外 的 防火 墙 
和 负载 均衡 保护 。 这 一 附加 层 不 仅 可 以 确保 非法 流量 无 法 进入 公司 网 
络 ， 还 可 以 作为 TCP 人 代理， 当 服 务 咒 在 网 络 通信 时 通过 负载 均衡 交换 流 
量 ， 从 而 不 必 直 接 与 服务 器 通信 。 








双重 信任 网 络 模型 的 问题 在 于 它 未 能 改变 对 外 部 威胁 的 应 对 格局 。 
但 是 ， 与 单 信任 网 络 模型 相 比 ， 由 于 增加 了 额外 的 网 络 端 和 负载 均衡 ， 
它 对 内 部 威胁 有 一 定 的 安全 防御 作用 。 但 是 ， 一 旦 某 个 终端 被 破坏 ， 攻 
击 者 仍然 可 以 获得 整个 环境 的 控制 权 。 虽 然 双 重信 任 网 络 模型 比 单 信任 
网 络 模型 更 安全 ， 但 它 仍然 会 给 企业 带 来 风险 。 
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图 12-2 


12.1.3 和 零 信 任 网 络 模型 


零 信 任 网 络 模型 是 推荐 的 网 络 分 段 方 法 。 有 了 该 网 络 模型 ， 企 业 狐 
如 同时 拥有 了 单 信任 网 络 模 型 中 的 外 部 安全 层 ， 以 及 双重 信任 网 络 模 型 
中 的 内 部 安全 层 ， 并 且 在 网 络 中 引入 了 内 部 安全 区 域 ， 如 图 12-3 所 示 。 
零 信任 网 络 模 型 握 弃 了 传统 的 通过 用 户 所 处 的 网 络 位 置 而 建立 信任 这 一 
核心 概念 ， 它 假设 网 络 已 经 被 攻击 者 攻陷 。 零 信任 网 络 模型 依赖 于 终端 
和 里 份 而 非 网 络 来 控制 对 企业 服务 和 资源 的 访问 。 


防火 墙 






负载 均衡 


图 12-3 


零 信任 网 络 模型 包含 以 下 组 件 : 


© 终 闪 目 录 ， 用 于 准确 表示 所 有 允许 访问 企业 服务 和 资源 的 终 疹 ; 

。 评估 服务 ， 用 于 确认 一 个 终端 是 否 符合 企业 安全 政策 ; 

。 标识 目录 ， 准 确 地 表示 应 该 允许 访问 的 企业 服务 和 资源 的 所 有 标 
识 ; 

。 访问 代理 ， 它 可 以 利用 前 面 的 组 件 来 提供 对 企业 服务 和 资源 的 访 
问 。 











借助 零 信任 网 络 模 型 ， 企 业 可 以 确保 只 有 具有 可 信 标 识 的 终端 才能 
访问 公司 服务 和 资源 。 通 过 这 种 方法 ， 企 业 可 以 执行 动态 信任 决策 。 突 
信任 网 络 模型 显著 降低 了 当前 网 络 面临 的 横 问 移动 的 风险 ， 即 就 算 某 个 
终端 被 攻 人 破 ， 也 无 法 与 其 他 终 问 或 基础 设施 进行 通信 。 因 此 ， 许 多 安全 
广 商 〈 如 谷歌 、 微 软 ) 已 将 零 信 任 网 络 模型 视 为 网 络 分 段 安全 性 的 下 一 
个 发 展 方 同 。 





Microsoft 365 零 信任 网 络 模型 





微软 通过 一 款 叫 作 Microsoft 365 Enterprise 的 产品 ， 提 供 了 安全 的 云 
问 办 公 方 案 。 正 如 Windows 在 操作 系统 领域 的 影响 ， 以 及 Office 在 办 公 
程序 领域 的 影响 ， 在 这 里 我 们 将 重点 讨论 Microsoft 365 零 信任 网 络 模型 
的 体系 结构 ， 如 图 12-4 所 示 。 安 全 团队 当前 所 面临 的 挑战 之 一 是 员工 需 
要 随时 随地 可 以 工作 。 正 因 如 此 ， 无 论 他 们 吴 在 何 处 ， 他 们 都 需要 访问 
企业 的 服务 和 资源 。 但 这 使 仅 基于 吴 份 的 访问 控制 政策 变 得 过 时 。 
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微软 零 信任 网 络 模型 的 基础 是 Azure Active Directory 条 件 访问 ， 以 
及 Azure Active Directory 吴 份 保护 。 结 合 这 两 种 工具 ， 企 业 可 以 基于 每 
个 资源 本 身 的 身份 、 终 端 、 位 置 和 会 话 风险 做 出 动态 访问 控制 决策 。 
Azure Active Directory 条 件 访问 为 企业 提供 了 一 组 政策 ， 可 以 对 这 些 政 
策 进行 配置 ， 以 确定 用 户 在 何 种 情况 下 可 以 访问 企业 的 资源 和 服务 。 由 


于 Microsoft 服 务 之 间 的 深度 集成 ， 它 可 以 包括 组 成 员 里 份 、 设 备 健康 状 
态 、 设 备 合 规 状 态 、 用 户 角色 、 使 用 中 的 移动 应 用 程序 、 位 置 和 登录 风 
丛 级 别 。 这 样 企业 就 可 以 更 完全 地 控制 配置 和 确定 用 户 是 否 可 以 访问 资 

源 ， 是 否 应 该 拒绝 用 户 对 资源 的 访问 ， 或 者 是 否 应 该 提示 用 户 进 行 其 他 
身份 认证 ， 例 如 使 用 Azure Active Directory Multi-Factor 进 行 多 因素 身份 

认证 。 


12.2 ”终端 安全 


终端 可 以 是 台式 计算 机 、 笔 记 本 电脑 、 打 印 机 、 销 售 点 终端 
(Point of Sale, PoS) 、 物 联网 设备 或 服务 器 一 一 无 论 是 在 实体 机 上 
还 是 在 虚拟 环境 中 ， 甚 至 在 云 中 。 确 保 终 端 安全 已 经 成 为 许多 企业 的 首 
要 任务 ， 这 是 因为 任何 终端 都 可 能 成 为 攻击 者 的 目标 一 一 无 论 是 连接 到 
企业 网 络 还 是 互联 网 ， 甚 至 是 在 断 开 连接 的 环境 中 。 攻 击 者 开始 更 多 地 
将 精力 放 在 直接 破坏 终端 上 ， 因 为 终端 直接 与 企业 中 安全 态势 最 薄弱 的 
环节 相连 ， 即 控制 这 些 终端 的 人 员 。 

















终端 安全 是 一 种 网 络 防护 方法 ， 安 全 团队 专注 于 为 终端 提供 尽 可 能 
强 的 防护 。 在 以 前 ， 这 意味 着 为 了 安全 而 牺牲 用 户 体 验 和 生产 力 ， 但 是 
在 过 去 的 5 年 里 ， 这 种 情况 发 生 了 变化 ， 企 业 不 再 接受 为 了 安全 而 牺牲 
用 户 体验 或 生产 力 ， 而 是 需要 两 者 兼顾 。 





12.2.1 终端 安全 威胁 


终端 安全 面临 着 许多 不 同 的 威胁 ， 总 体 而 言 ， 这 些 威胁 可 以 分 为 以 
FIL: 


。 物理 权限 ; 

。 恶意 代码 执行 ; 
。 基于 设备 的 攻击 ; 
。 通信 拦截 ; 

。 内 部 威胁 ; 

。 降低 生产 力 。 


了 解 这 些 威 胁 很 重要 ， 因 为 这 可 以 确保 缓解 措施 执行 到 位 。 以 下 内 
容 将 给 出 每 种 威胁 的 简短 示例 。 


12.2.1.1 ”物理 权限 





假设 你 是 一 家 上 市 公司 的 安全 架构 师 。 今 天 早上 ， 首 席 财 务 官 
(CFO) 的 行政 助理 (Executive Assistant, EA) 打 电 话 来 说 CFO 在 机 
场 丢 失 了 笔记 本 电脑 ， 并 且 这 台 笔 记 本 电脑 包含 了 将 在 明天 辣 公 众 披露 
的 财务 报表 。 以 下 是 一 些 你 需要 问 自己 的 问题 。 








终 疹 安 全 政策 是 售 可 以 确保 捡 到 笔记 本 电脑 的 人 符合 以 下 条 件 : 


。 无 法 登录 到 终端 ; 

。 无 法 从 终端 提取 数据 ; 

。 无 法 禁用 任何 安装 在 终端 的 软件 ; 
© 无 法 确定 终端 属于 哪 家 公司 。 


12.2.1.2 ”恶意 代码 执行 


假设 你 是 一 家 公司 的 安全 架构 师 ， 该 公司 的 网 络 环境 没有 直接 与 外 
部 的 互联 网 连接 。 某 攻击 者 将 盒 有 悉 意 程序 的 U 盘 扔 到 员工 的 俘 车 场 附 
近 。 研 发 部 门 的 负责 人 捡 到 了 其 中 一 个 U 盘 ， 并 把 它 带 进 了 公司 。 到 达 
办 公 昌 后 ， 他 把 U 检 插 到 了 计算 机 上 。 以 下 是 一 些 你 需要 问 自 己 的 问 


jel 
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。 在 终端 上 运行 恶意 代码 ; 

© 在 公司 的 网 络 环境 中 横 问 移动 ; 
。 销毁 终端 上 的 数据 并 且 无 法 恢复 ; 
。 提取 存储 在 终端 上 的 敏感 数据 。 


12.2.1.3 ”基于 设备 的 攻击 





假设 你 是 一 家 财富 500 强 企业 的 安全 架构 师 ， 该 企业 正在 对 I 开 部 门 
进行 大 幅度 的 成 本 削减。 一 些 IT 维 护 工作 被 外 包 了 出 去 ， 这 意味 痢 当 需 
要 对 终端 进行 修复 时 ， 运 行 Windows 7 操作 系统 的 设备 会 被 送 到 另 一 家 
公司 。 然 而 ， 该 外 包 商 本 里 已 成 为 内 部 攻击 的 目标 ， 其 中 一 个 潜伏 在 外 
包 商 的 攻击 者 获得 了 对 终端 的 访问 权 。 以 下 是 一 些 你 需要 问 目 己 的 问 
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。 执行 冷 司 动 攻击 ; 
。 从 终端 提取 公司 数据 ; 
。 植 入 恶意 硬件 而 不 被 发 现 。 





12.2.1.4 通信 拦截 


假设 你 是 一 家 大 型 金融 服务 机 构 的 安全 架构 师 。 网 络 安全 防御 中 心 
的 报告 称 ， 终 端 用 户 在 使 用 网 上 银行 系统 时 存在 可 疑 活 动 。 经 过 进一步 
调查 ， 确 认 是 一 名 攻击 者 尝试 实施 中 间 人 攻击 。 以 下 是 一 些 你 需要 问 目 
己 的 问题 。 





终 疹 安 全 政策 是 售 可 以 确保 攻击 者 无 法 做 到 以 下 事项 : 


。 拦截 终端 客户 和 银行 之 间 的 通信 ; 
© 干扰 终端 客户 与 银行 的 网 络 连接 。 


通信 拦截 过 程 如 图 12-5 所 示 。 





a 原始 连接 PAY 
i] 

we 

M. see 





中 间 人 、 的 鱼 者 或 匿名 代理 


图 12-5 
12.2.1.5 ”内 部 威胁 


假设 你 是 一 家 大 公司 的 网 络 防御 运营 中 心 (Cybersecurity Defense 
Operations Center, CDOC) 的 安全 分 析 师 。 最 近 ， 公 司 在 人 力 资源 
(Human Resources, HR) PFA] (Research and Development, 











R&D) 进行 了 裁员 。 尽 管 员工 应 该 归还 属于 公司 的 所 有 资产 ， 但 仍 有 


一 些 员 工 没 有 退还 公司 发 放 的 用 于 工作 的 笔记 本 电脑 。 你 知道 这 











本 电脑 里 有 商业 机 密 。 以 下 是 一 些 你 需要 问 目 己 的 问题 。 
终端 安全 政策 是 售 可 以 确保 前 雇员 无 法 做 到 以 下 事项 : 
。 使 用 他 们 的 企业 和 凭据 登录 到 终端 ; 
。 使 用 他 们 的 企业 凭据 登录 和 访问 企业 服务 以 及 资源 ; 
© 将 公司 数据 从 终端 复制 到 个 人 U 盘 。 


12.2.1.6 ”降低 生产 力 


kew 


假设 你 是 一 家 大 型 企业 的 新 任 首席 信息 官 (Chief Information 
Officer, CIO) ，IT 部 门 和 安全 部 门 会 同 你 汇报 工作 。 在 过 去 ,终端 用 
户 的 生产 力 并 不 是 安全 部 门 关 心 的 重点 ， 这 可 能 会 导致 部门 和 和 安全 部 
门 之 间 产 生 摩 控 。IT 部 门 希 望 部 普 最 新 的 技术 ， 以 提高 终端 用 户 的 生产 

















力 ， 而 安全 部 门 则 希望 阻止 大 多 数 项 目 。 以 下 是 一 些 你 需要 问 上 自己 的 问 


题 。 
终端 安全 政策 是 售 可 以 做 到 以 下 事项 : 


。 制定 安全 的 办 公 环 境 政策 ; 
。 兼顾 安全 性 与 生产 力 。 


12.2.2 ”现代 终端 安全 


现代 终端 安全 包括 设备 保护 、 威 胁 抵 抗 、 号 份 保护 、 信 息 保 护 、 入 


侵 检测 和 啊 应 能 力 。 在 过 去 ， 许 多 企业 都 投入 了 不 少 精力 研究 如 何 更 好 
地 做 到 安全 ， 然 而 如 今 ， 更 多 的 企业 开始 考虑 从 单个 供应 商 那 里 获得 安 
全 服务 。 鉴 于 Windows 10 是 部 闭 最 多 的 操作 系统 ， 本 小 节 将 着 重 基 于 筷 
进行 讨论 ， 如 图 12-6 所 示 。 本 小 节 将 介绍 利用 其 内 置 的 功能 确保 12.2.1 
小 节 中 提 到 的 问题 得 到 解决 。 


Windows 10 防 御 栈 


保护 、 检 测 和 响应 
入 侵 前 入 侵 后 
设备 保护 成 肋 抵 抗 身份 保护 信息 保护 
© © © @ 
图 12-6 


12.2.2.1 设备 保护 


设备 保护 功能 是 Windows 10 操 作 系 统 的 重要 组 成 部 分 。 有 了 设备 保 
护 ， 微 软 可 以 确保 操作 系统 在 引导 时 仪 加载 受 信任 的 代码 ， 并 在 有 人 洋 
试 破坏 系统 引导 完整 性 时 对 其 进行 早期 检测 。 图 12-7 所 示 的 组 件 是 
Windows 10 设 备 保护 的 一 部 分 。 


基于 虚拟 化 UEFI 
技术 的 安全 安全 启动 
Windows 
更 新 


Windows 





可 信和 启动 





图 12-7 


12.2.2.2 威胁 抵抗 


威胁 抵抗 加 大 了 攻击 者 的 攻击 难度 。 威 胁 抵 抗 的 重点 是 尽 可 能 地 减 
少 攻击 面 ， 图 12-8 所 示 的 组 件 是 Windows 威 胁 抵抗 的 一 部 分 。 


Microsoft Windows 
Dep 
BETY Edge Defender 
Windows 3 
防火 墙 SmartScreen 


图 12-8 








12.2.2.3 ”身份 保护 


由 于 身份 保护 的 重要 性 ， 因 此 在 该 领域 花费 大 量 的 精力 去 研究 是 值 
得 的 。 在 过 去 的 几 年 中 ， 散 列传 递 攻 击 (pass-the-hash〉、 票 据 传 递 攻 
击 〈pass-the-ticket) 以 及 其 他 基于 凭据 或 散 列 的 攻击 已 经 变 得 非常 普 
遍 。 为 此 ， 微 软 研究 了 存储 和 保护 密 钥 ， 以 及 消除 传统 密码 的 方法 。 这 
可 以 通过 图 12-9 所 示 的 组 件 实现 。 


Windows : 
凭据 守护 设备 “ 国 windows 
凭据 协作 设 indows Hello 





图 12-9 


12.2.2.4 信息 保护 


几乎 所 有 网 络 攻 击 的 目标 都 是 以 茶 种 方式 贸 取 敏感 数据 。 无 论 是 外 


部 威胁 还 是 内 部 威胁 ， 数 据 泄 露 几乎 总 是 网 络 攻击 的 最 终结 果 。 因 此 ， 
安全 广 商 在 信息 保护 领域 花费 精力 去 研究 也 就 不 足 为 奇 了 。Windows 10 
操作 系统 内 置 了 图 12-10 所 示 的 组 件 。 








` ` Windows BitLocker 
ay 4 DEAS z x P mR 
设备 加 党 国信 息 保护 国 管理 及 监控 


BitLocker BitL ocker 
To Go 


图 12-10 





12.2.2.5 入侵 检 测 和 啊 应 


如 今 ， 企 业 需 要 为 入 侵 的 后 果 承 担 责任 。 因 此 ， 企 业 需 要 对 网 络 攻 
击 做 检测 和 啊 应 ， 并 且 为 终端 分 配 动 态 政 琐 ， 以 确保 在 受到 威胁 时 攻击 
者 无 法 访问 企业 的 资源 和 服务 。 图 12-11 所 示 的 Windows 10 操 作 系 统 的 
内 置 组 件 可 以 做 到 这 一 点 。 


图 12-11 


Windows Defender 


高 级 威胁 防护 
(ATP) 





12.3 ”小结 


本 章 通过 深入 研究 基于 单 信任 网 络 模型 、 双 重信 任 网 络 模型 和 零 信 
任 网 络 模型 设计 的 差异 介绍 了 网 络 分 段 的 演变 。 如 今 的 企业 需要 假设 它 


们 已 经 面临 威胁 ， 因 此 ， 零 信任 网 络 模 型 成 为 最 佳 的 选择 。 借 助 零 信任 
网 络 模型 ， 企 业 可 以 确保 只 有 有 具 有 可 信 标 识 的 终端 才能 访问 企业 的 资源 
和 服务 。 此 外 本 章 还 介绍 了 终端 资产 在 现实 世界 中 面临 的 不 同 威胁 ， 以 
及 对 这 些 威胁 提出 了 示例 问题 ， 这 些 问 题 可 以 帮助 判断 终端 安全 政策 是 
否 满足 要 求 。 如 果 企 业 难 以 回答 这 些 问 题 ， 或 者 认为 当前 做 得 还 不 够 ， 
那么 现在 就 是 在 这 些 领域 加 大 投入 的 好 时 机 。 鉴 于 Windows 10 是 企业 中 
部 署 最 多 的 操作 系统 ， 本 章 还 介绍 了 内 置 的 操作 系统 安全 功能 ， 并 解释 
了 它们 是 如 何 作为 现代 终端 安全 计划 的 一 部 分 为 企业 提供 帮助 的 。 














第 13 章 将 讨论 企业 通用 的 3 个 重要 过 程 : 审计 、 风 险 管 理 和 事件 处 
HE 


第 13 章 ”威胁 及 漏洞 官 理 


漏洞 管理 是 一 个 周期 性 的 实践 ， 包 含 识别 、 分 类 、 划 分 优先 级 、 实 
施 补救 措施 以 及 绥 解 软件 漏洞 市 来 的 危害 。 漏 洞 管理 对 于 任何 企业 都 至 
天 重要 。 漏 洞 管理 这 个 术语 通 单 与 漏洞 评估 混 消 ， 漏 凋 评 佑 是 识别 、 量 
化 以 及 确定 系统 中 漏洞 的 优先 级 的 过 程 。 建 立 摆 有 成 效 的 漏洞 管理 策略 
的 最 佳 方法 是 使 其 成 为 漏洞 管理 生命 周期 。 漏 洞 管理 生命 周期 按 优 先 顺 
序 安排 所 有 漏洞 的 缓解 过 程 ， 计 划 在 正确 的 时 间 执 行 正确 的 应 对 措施 ， 
以 此 在 攻击 者 找到 并 滥用 这 些 漏洞 而 发 动 攻击 之 前 ， 率 移 发 现 并 解决 这 
Heyif o 





在 本 章 中 ， 我 们 将 重点 关注 以 下 主题 : 


漏洞 管理 策略 ; 
漏洞 的 定义 ; 

安全 问题 的 本 质 原因 ; 
漏洞 管理 工具 ; 

实施 漏洞 管理 ; 
漏洞 管理 最 佳 实践 
自我 评估 ; 

理解 风险 管理 ; 

纵深 防御 方法 。 


13.1 漏洞 管理 策略 


漏洞 管理 荣 略 由 不 同 的 阶段 组 成 ， 我 们 将 在 以 下 各 小 节 中 进行 介 


绍 。 
13.1.1 资产 清单 


漏洞 管理 策略 的 第 一 阶段 是 进行 资产 盘 上 把。 但 是 ， 许 多 企业 缺乏 有 
效 的 资产 注册 流程 ， 因 此 在 遇 到 需要 保护 企业 设备 安全 的 时 候 就 会 面临 
困难 。 安 全 管理 员 可 以 通过 资产 清单 来 租 看 企业 所 拥有 的 设备 ， 以 及 确 
定 哪 些 设 备 需 要 受到 安全 保护 。 











在 漏洞 管理 策略 中 ， 企 业 应 该 首先 让 员工 承担 目 主 管理 资产 清单 的 
责任 ， 以 确保 所 有 设备 都 记录 在 案 ， 并 且 确 保 清单 得 到 及 时 更 新 。 网 络 
和 系统 管理 员 也 可 以 使 用 资产 清单 来 快速 得 找 设备 和 系统 ， 并 为 其 安装 
补丁 更 新 程序 。 





13.1.2 信息 管理 


这 个 阶段 主要 控制 信息 如 何 流入 企业 。 人 金融 企业 存储 了 不 同类 型 的 
数据 ， 这 些 信息 绝 不 能 锌 错误 的 人 掌握 。 如 果 信 息 被 黑客 访问 到 了 ， 那 
么 可 能 会 对 信用 卡 信息 以 及 客户 的 个 人 喘 份 信息 造成 无 法 弥补 的 损害 。 
涉 事 金 融 机 构 将 因此 而 失去 声誉 ， 同 时 还 将 被 处 以 神 款 ， 失 去 客户 以 及 
股东 的 信任 。 








13.1.3 ”风险 评估 


这 是 漏洞 管理 策略 中 的 第 三 阶段 。 在 实施 措施 以 降低 安全 风险 之 
前 ， 安 全 团队 应 该 对 其 面临 的 漏洞 进行 深入 的 分 析 。 在 理想 的 IT 环境 
中 ， 安 全 团队 拥有 足够 的 资源 和 时 间 来 应 对 所 有 的 漏 洞 。 但 实际 上 ， 安 
全 团队 在 可 用 于 减轻 风险 的 资源 方面 有 很 多 限制 因素 。 因 此 ， 风 险 评估 
至 关 重 要 。 在 风险 评估 过 程 中 ， 企 业 必须 考虑 漏洞 的 优先 级 ， 并 分 配 相 
应 的 资源 以 缓解 这 些 漏洞 。 














风险 评估 和 包括 5 个 方面 。 风 险 评估 始 于 范围 识别 ， 范 围 是 需要 仔细 
确定 的 ， 因 为 它 将 确定 从 何 处 进行 内 部 和 外 部 的 漏洞 分 析 。 定 义 好 范围 
后 ， 就 需要 收集 和 天 于 为 保护 企业 免 受 网 络 威胁 而 制定 的 现 有 集 略 和 过 程 
的 数据 。 这 可 以 通过 对 人 员 〔 如 用 户 和 网 络 管理 员 )〉 进行 采访 、 问 卷 调 
查 来 完成 。 应 当 收 集 范 围 内 的 所 有 网 络 、 应 用 程序 和 系统 的 相关 数据 。 
这 些 数 据 可 能 包括 服务 包 、 操 作 系 统 版 本 、 运 行 的 应 用 程序 、 位 置 、 访 
问 控制 、 入 侵 检测 测试 、 防 火 增 测试、 网络 调查 和 端口 扫描 结果 。 这 些 
言 息 将 使 人 们 更 加 了 解 网 络 、 系 统 和 应 用 程序 所 面临 的 威胁 类 型 。 


13.1.4 漏洞 分 析 


汤 洞 分 析 需 要 用 到 许多 不 同 的 工具 来 完成 ， 我 们 将 在 本 章 后 续 部 分 
提供 相关 示例 。 用 于 漏洞 分 析 的 工具 同时 也 在 被 黑客 使 用 。 企 业 存在 众 
多 安全 漏洞 ， 黑 客 通 过 这 个 工具 来 确定 利用 哪 一 个 。 通 常 ， 企 业 会 邀请 
渗透 测试 人 员 来 执行 这 个 过 程 。 漏 洞 分 析 中 最 大 的 困难 在 于 如 何 高 效 地 
识别 并 排除 误 报 。 因 此 ， 有 必要 同时 使 用 多 种 工具 来 提高 漏洞 列表 的 可 
靠 性 。 





it 


13.1.5 威胁 分 析 


进行 威胁 分 析 以 便于 洞悉 可 能 发 生 在 企业 里 的 风险 。 识 别 出 来 的 威 
胁 必 须 进行 分 析 ， 以 确定 它们 对 企业 可 能 造成 的 影响 。 威 胁 也 有 分 级 ， 
并 且 和 漏 调 分 级 的 方式 类 似 ， 差 别 是 威胁 分 级 根据 攻击 者 的 动机 和 能 


进行 综合 衡量 。 





13.1.6 ”风险 接受 


这 一 阶段 对 现 有 的 策略 、 过 程 和 安全 机 制 进行 评估 ， 以 确定 它们 是 
人 否 足 以 确保 企业 的 安全 。 如 果 它 们 存在 不 足 ， 那 么 就 可 以 假定 企业 中 存 
在 漏洞 。 企 业 需 要 采取 纠正 措施 以 确保 对 这 些 集 略 、 过 程 和 安全 机 制 进 
行 更 新 和 升级 ， 直 到 足够 安全 为 止 。 因 此 ，IT 部 门将 确定 各 种 保障 措施 
应 当 达 到 的 标准 。 而 几 是 这 些 安全 措施 所 徐 冀 不 到 的 内 容 痢 会 归 类 为 可 
接受 的 风险 。 但 是 ， 随 看 时 间 的 推移 ， 这 些 风险 的 危害 性 可 能 会 及 生变 
化 ， 变 得 更 加 有 害 ， 因 此 必须 持续 对 其 进行 分 析 。 只 有 在 确定 这 些 风 险 
不 会 构成 威胁 之 后 ， 风 险 评估 才 会 结束 。 如 果 这 些 风险 确实 可 能 构成 威 
肋 ， 那 么 束 应 当 更 新 防护 标准 以 解决 它们 。 


13.1.7 ”漏洞 评估 


漏洞 评估 涉及 识别 脆弱 的 资产 ， 该 阶段 可 以 通过 白 帽 子 的 模拟 攻击 
和 渗透 测试 来 完成 。 企 业 网 络 里 的 服务 器 、 打 印 机 、 工 作 站 、 防 火 墙 、 








路 由 器 和 交换 机 都 是 这 些 攻 击 的 目标 。 其 目的 是 模拟 真实 的 黑客 攻击 场 
景 ， 并 且 这 个 过 程 用 到 的 工具 和 技术 同 真实 的 攻击 者 们 所 使 用 的 完全 一 
致 。 


13.1.8 ”安全 通告 与 修复 
安全 通告 可 以 帮助 系统 管理 员 了 解 当前 企业 的 安全 状态 ， 以 及 哪些 


部 分 仍然 不 安全 ， 并 且 能 够 明确 应 当 为 此 负责 的 人 员 。 报 告 还 为 管理 人 
员 提 供 了 切实 的 帮助 ， 使 得 他 们 可 以 将 其 与 企业 的 未 来 发 展 方向 联系 起 


党 


修复 措施 的 开始 也 是 漏洞 管理 周期 的 结束 。 修 复 措施 是 指 对 威胁 和 
汤 洞 提出 解决 方案 ， 以 弥补 这 一 不 足 。 这 包括 跟 踊 所 有 另 受 攻击 的 主 
机 、 服 务 器 和 网 络 设备 ， 并 建立 必要 的 步骤 以 消除 漏洞 并 保护 它们 免 受 
将 来 的 利用 。 这 是 漏洞 管理 策略 中 最 重要 的 任务 ， 如 果 执 行 得 当 ， 漏 洞 
管理 将 取得 成 功 。 修 复 措施 中 的 活动 包括 识别 缺失 的 补丁 程序 ， 以 及 检 
碍 企业 中 所 有 系统 看 其 是 否 可 以 进行 升级 ， 还 包括 为 扫描 工具 所 发 现 的 
漏洞 确定 解决 方案 。 在 此 阶段 中 ， 还 可 以 确定 实施 多 层 安 全 防御 措施 ， 
例如 安装 防 病毒 程序 和 防火 墙 。 如 果 这 个 阶段 执行 得 不 成 功 ， 后 果 则 是 
使 整个 漏洞 管理 过 程 变 得 坚 无 意义 。 








13.2 ”漏洞 的 定义 


漏洞 是 应 用 程序 中 的 缺陷 ， 它 包括 以 下 内 容 : 


。 安全 风险 ; 
。 功能 问题 。 








应 用 程序 可 以 运行 在 任何 设备 中 ， 例 如 虚拟 机 或 物 联网 设备 。 应 用 
程序 可 以 具有 多 个 向 量 ， 例 如 : 








。 远程 网 络 ; 
。 本 地 系统 。 


并 且 漏 洞 出 现在 以 下 3 个 元 素 的 交集 范围 内 : 
。 系统 的 脆弱 性 或 缺陷 ; 


。 攻击 者 对 缺陷 的 访问 ; 
。 攻击 者 利用 缺陷 的 能 


13.2.1 从 漏洞 到 威胁 
黑客 发 现 了 一 个 漏洞 ， 并 开发 出 对 应 的 程序 来 利用 该 漏洞 ， 以 便于 


操纵 目标 应 用 程序 。 该 漏洞 利用 程序 一 旦 执行 成 功 ， 受 害 者 便 开 始 
了 “被 动 营 业 ”*， 其 内 容 如 图 13-1 所 示 。 





图 13-1 


13.2.2 ”倍增 的 威胁 





一 个 漏洞 可 能 同时 有 多 个 对 应 的 漏洞 利用 程序 ， 但 常见 的 防御 措施 
的 目标 却 只 是 针对 漏洞 利用 程序 ， 而 不 是 解决 漏洞 本 里 ， 如 图 13-2 所 
ZR o 








图 13-2 





这 个 过 程 具有 以 下 几 个 特点 ， 如 图 13-3 所 示 。 


漏洞 利用 程序 其 实 是 商业 软件 产品 。 
o 它 的 售 价 遵循 经 典 的 市 场 供需 原则 。 
漏 调 利用 程序 可 以 在 地 下 黑市 获得 。 
漏 调 利用 程序 的 买 家 类 型 各 异 ， 涉 及 黑客 行为 主义 者 、 网 络 非 犯 和 
企业 。 


汤 洞 利用 程序 被 用 于 有 针对 性 的 广泛 攻击 。 
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13.2.3 ”倍增 的 风险 





漏洞 利用 程序 通常 是 打包 出 售 。 一 个 包 等 同 于 多 个 漏洞 利用 程序 ， 
并 且 针 对 多 个 产品 中 的 多 个 漏洞 。 受 影响 的 应 用 程序 和 设备 的 数量 呈 指 
数 增长 的 同时 ， 风 险 也 在 不 断 增加 ， 如 图 13-4 所 示 。 
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图 13-4 


13.3 ”安全 问题 的 本 质 原因 


网 络 犯 罪 分 子 通常 将 软件 漏洞 作为 入 侵 企 业 网 络 的 入 口 。 根 据 
Flexera (Secunia) 在 2018 年 的 数据 ， 有 86% 的 漏洞 影响 的 是 操作 系统 中 
的 第 三 方 应 用 程序 ， 如 图 13-5 所 示 。 





86% 





非 微软 应 用 程序 
《第 三 方 应 用 ) 






5.5% 


操作 系统 





图 13-5 


13.4 漏洞 管理 工具 


市 面 上 有 多 种 多 样 的 漏洞 管理 工具 ， 为 简单 起 见 ， 本 节 将 对 鹤 至 
2019 年 的 一 些 最 佳 工 具 做 简要 介绍 。 你 可 以 通过 网 上 搜索 以 获取 关于 这 
些 工具 的 更 多 信息 。 本 市 的 目的 在 于 帮助 你 挑选 正确 的 、 被 行业 推荐 的 
工具 ， 以 及 在 金融 领域 内 被 广泛 使 用 的 工具 。 以 下 便 是 这 些 漏洞 管理 和 
分 析 工 具 。 





e McAfee Foundstone 企 业 版 。MCcAfee Enterprise Security Manager 提 
供 了 智能 、 快 速 、 谁 确 的 安全 信息 和 事件 管理 (SIEM) 以 及 日 志 


人 大生 
ee 
e OpenVAS。OpenVAS 是 一 个 开源 漏洞 评估 工具 ， 它 同时 提供 了 漏 








洞 扫 描 和 漏洞 管理 功能 ， 如 图 13-6 所 示 。 
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Vulnerability ewe leeo CCC 


Microsoft Remote Desktop Protocol Detection MXN 80% 192.168.86.61 3389/tcp Tue Oct 24 15:22:06 2017 
DNS Server Detection (UDP) 80% 192.168.86.7 53/udp Tue Oct 24 15:14:47 2017 


图 13-6 





e Nexpose 什 区 。Nexpose 是 一 个 开源 漏洞 扫描 工具 ， 并 且 还 有 广泛 的 
网 络 安 全 检查 规则 ， 如 图 13-7 所 示 。Nexpose 是 Rapid7 的 漏洞 管理 
软件 ， 可 以 实时 监控 漏洞 情况 ， 并 且 能 够 实时 更 新 威胁 库 ， 从 而 确 
保 你 始终 可 以 在 受到 漏洞 影响 的 时 候 立 即 采 取 行 动 。 


9,955 Assets | 17& 39 7,862 
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m 
E 
Gai 

La 4 m 

= E 
a 

Bo: Cc 
w 
a 





SCANNED 
Address Name Site Operating System a y Vulnerabilities Risk v Assessed Last Sean Delete 


10.1.10.101 server001 Los Angeles - Full Audit Microsoft Windows Server 2003 R2, 89 339 1429 (1,690,272 Yes Sun Oct 11 a 
Enterprise Edition SP2 2015 j 
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。 Nikto。Nikto 是 一 个 广 受 赞 蕉 的 开源 Web 扫 描 医 ， 可 以 用 于 评估 系 





统 中 可 能 存在 的 安全 问题 ， 如 图 13-8 所 示 。 它 能 够 针对 网 站 执行 超 
过 6000 个 测试 用 例 。 这 些 大 量 的 针对 Web 服 务 器 安全 漏洞 和 安全 配 
置 失误 的 测试 用 例 ， 使 其 成 为 许多 安全 专业 人 员 和 系统 管理 员 的 首 
选 工 具 ， 它 可 以 从 外 部 视角 寻找 到 被 遗 态 的 脚本 以 及 一 些 其 他 难以 
发 现 的 问题 。 


- # nikto -port 80 -host http://192.168.0.1 
- Nikto v2.1.6 


Target IP: 

Target Hostname: 

Target Port: 

Start Tim 2017-05-11 10:32:23 (GMT-4) 


Server: micro httpd 
The anti-clickjacking X-Frame-Options header is not present. 
X-XSS-Protection header is not defined. This header can hint to the user agent to protect against some 
s of XSS 
X-Content-Type-Options header is not set. This could allow the user agent to render the content of the 
site in a different fashion to the MIME type 
+ All CGI directories 'found', use '-C none' to test none 





图 13-8 


OWASP ZAP. OWASP ZAP 可 以 帮助 你 在 开发 和 测试 Web 应 用 程 
序 的 时 候 自动 发 现 安全 漏洞 ， 如 图 13-9 所 示 。 对 经 验 丰 富 的 渗透 测 
试 人 员 来 说 ， 它 同样 也 是 一 个 能 用 于 执行 手动 安全 测试 的 工具 。 
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图 13-10 所 示 是 扫 摘 报告 的 截图 。 





OpenVAS 04:33:14 are 
n 
= Scan started 13/03/18 @ 01:00:39 BoB 
whe TEXT 
Nikto 00:00:15 
Scan started 11/03/18 @ 02:23:55 2 


scanme.nmap.org 
WhatWeb 00:00:02 TEXT 
Scan d 10/03/18 @ 22:37:09 





hackertarget.com 
00:00:02 TEXT 
Scan start r @ 0119:58 


traceroute-online.com 
sslyze 00:00:01 TEXT 
Scan started 09/03/18 @ 02:06:53 


scanme.nmap.org 
00:00:01 TEXT 
Scan started 09/03/18 @ 02:03:57 


NS scanme.nmap.org 00:00:10 TEXT HTML 
Scan started 08/03/18 @ 02:22:47 


== com 
DomainProfiler 00:00:02 XLS 
Scan started 07/03/18 @ 17:05:36 
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。 Nessus 专 业 版 。Nessus 可 以 帮助 你 在 各 种 操作 系统 、 设 备 和 应 用 程 
序 中 快速 轻松 地 识别 和 修复 漏 筒 ， 包 括 那些 软件 缺陷 、 缺 失 的 补 
丁 、 恶 意 软件 和 错误 配置 ， 如 图 13-11 所 示 。 


Nessus Q E 


Live Results Scan 


Mon, 17 Sep 2018 17:57:16 EDT 





TABLE OF CONTENTS 
Hosts Executive Summary 
。 localhost 
Hosts Executive Summary Coliapse All | Expand All 
localhost 
CRITICAL MEDIUM LOW INFO 
Severity cvss Plugin Name 
10.0 56584 {Offline} Mozilla Foundation Unsupported Application Detection (macOS) 
93 108375 {Offline} Mozilla Firefox < 59 Multiple Vulnerabilities (macOS) 
93 108585 {Offline} Mozilla Firefox < 59.0.1 Multiple Code Execution Vulnerabilities (macOS) 
109867 [Offline] Mozilla Firefox < 60 Multiple Critical Vulnerabilities (macOS) 


93 110806 [Offline] Mozilla Firefox < 61 Multiple Critical Vulnerabilities (macOS) 


93 117291 (Offline) Mozilla Firefox < 62 Multiple Critical Vulnerabilities (macOS) 
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e Burp Suite. Burp Suite 可 以 帮助 你 识别 漏洞 并 验证 影响 Web 应 用 程 
序 的 攻击 问 量 ， 如 图 13-12 所 示 。 


Burp Scanner Report [ 恒 BURP 


Summary 


The table below shows the numbers of issues identified in different categories. Issues are classified according to severity as High. Medium, Low or Information. This 
refiocts the tkely impact of each issue for a typical organizadon. Issues are also Classified according to confidence as Certain, Firm or Tentative This reflects the 
innerent retatiity of the techrque that was used to dentify the issue 
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The chart below shows the aggregated numbers of issues identified in each category Sod colored bars represent issues with a confidence level of Certan and the 
bars fade as the configence levei talis 


Contents 


1. XPath injection 
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° Acunetix. Acunetix 可 以 执行 扫描 并 提供 基于 最 佳 实践 的 漏洞 修复 
建议 ， 还 提供 了 一 系列 漏洞 管理 工具 ， 如 图 13-13 所 示 。 
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。 Flexera 软 件 漏洞 管理 器 。Flexera 可 以 对 管理 软件 漏洞 的 流程 进行 
优先 级 排序 和 优化 ， 从 而 在 漏洞 被 利用 的 可 能 性 增加 之 前 就 主动 减 
轻 风 险 ， 如 图 13-14 所 示 。 
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图 13-14 








e Core impact. Core impact 旨 在 提供 履 盖 整个 企业 的 高 效 的 漏洞 评 
估 和 渗透 测试 ， 如 图 13-15 所 示 。 它 是 一 款 特殊 的 漏洞 扫描 工具 ， 
它 能 够 允许 用 户 在 路 系统 、 设 备 和 应 用 程序 分 析 安 全 威胁 的 同时 ， 
揭示 安全 漏洞 如 何 打开 通 往 企 业 关键 任务 系统 和 数据 的 路 径 。 
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e BeyonTrust。BeyonTrust 可 以 帮助 你 扫描 、 识 别 和 评估 企业 内 所 有 
资产 (本 地 服务 器 、 云 主机 、 移 动 设备 、 虚 拟 机 、 容 器 每 ) 的 漏 
洞 ， 如 图 13-16 所 示 。 





BTSOLUTIONS - Microsoft Windows Server 2012 








Additional LSA Protection Not Configured Info Informational Check 0.0 No 22 
Cannot Change Password Low Informational Check 0.0 No 22 
DCE/RPC Service Detected Info Informational Check 0.0 No 22 
HTTP 404 Not Found Response Detected Info Informational Check 0.0 No 0 
HTTP Gzip Compression Detected Info Informational Check 0.0 No 22 
Microsoft Command Line Param Medium Information Leak 43 No 36 
Information Disclosure (3082458) 
Microsoft Cumulative Internet Explorer Security Update High Multiple Vulnerabilities 9.3 No 36 
(3089548) 了 
Microsoft Cumulative Internet Explorer Security Update High Multiple Vulnerabilities 93 No 36 
(3096441) 
Microsoft Cumulative Internet Explorer Security Update High Multiple Vulnerabilities 9.3 No 46 
(3104517) 

图 13-16 





漏 词 管理 的 实施 需要 这 循 一 定 的 策略 。 漏 洞 管理 的 实施 从 创建 资产 
清单 开始 ， 网 络 中 所 有 的 主机 及 其 包含 的 软件 都 需要 在 清单 上 进行 注 
册 。 在 这 个 阶段 ， 企 业 必 须要 分 配 IT 员工 来 专门 负责 维护 资产 清单 ， 使 
其 持续 保持 更 新 。 资 产 清单 至 少 应 该 涵盖 企业 所 拥有 的 所 有 硬件 和 软件 
资产 数据 及 其 相关 许可 证 信息 。 如 果 企 业 有 能 力 ， 还 可 以 把 企业 的 这 些 
资产 中 所 存在 的 已 知 漏洞 也 记录 到 资产 清单 里 。 当 企业 在 遇 到 安全 问题 
需要 对 受 影响 资产 执行 漏洞 修复 的 时 候 ， 这 样 一 份 数 据 准 确 的 资产 清单 
会 变 得 非常 有 用 。13.4 节 里 提 及 的 工具 可 以 很 好 地 处 理 本 阶段 所 需要 执 
行 的 任务 。 在 资产 清单 建立 起 来 后 ， 企 业 应 该 把 注意 力 放 在 安全 信息 的 
管理 上 。 


























目标 是 建立 一 个 高 效 的 途径 ， 以 便于 在 尽 可 能 短 的 时 间 内 问 相 关 人 
员 提 供 有 关 漏 洞 和 网 络 安全 事件 的 信息 。 最 应 当 掌 握 第 一 手 安全 事件 信 
恩 的 人 便 是 计算 机 安全 事件 啊 应 团队 。 对 于 我 们 讨论 过 的 各 种 工具 ， 如 











打 要 对 当前 这 个 阶段 起 到 促进 作用 ， 那 么 它们 都 需要 具备 创建 邮件 列表 
的 能 力 。 事 件 啊 应 小 组 成 员 应 该 在 邮件 列表 中 ， 因 为 他 们 将 接收 企业 中 
安全 监控 工具 所 发 送 的 警报 。 此 外 ， 还 应 当 有 一 个 单独 的 邮件 列表 ， 以 
便于 企业 中 的 其 他 利益 相关 者 在 安全 事件 信息 得 到 确认 后 可 以 收 到 及 时 
的 通知 。 要 求 这 些 利益 相关 者 对 安全 事件 采取 的 相关 措施 也 应 当 通 过 这 
个 邮件 列表 传达 。 








这 个 步骤 中 ， 最 值得 推荐 的 工具 来 自 赛 门 铁 殉 ,该 工具 可 以 向 企业 
中 的 用 户 提供 定期 出 版 物 ， 以 使 他 们 能 够 随时 了 解 全 球 网 络 安全 事件 。 
总 而 言 之 ， 在 此 阶段 结束 时 ， 应 当 建立 起 一 个 沟通 渠道 ， 以 便于 当 系 统 
站 到 破坏 时 ， 信 息 能 有 效 传递 给 事故 啊 应 者 和 其 他 用 户 。 建 立 了 用 于 信 
县 管 理 的 邮件 列表 之 后 ， 接 下 来 就 轮 到 风险 评估 的 实施 了 。 风 险 评估 应 
该 按照 我 们 在 13.1 节 所 述 的 方式 来 实施 。 风 险 评 佑 应 该 从 确定 范围 开 
始 。 在 此 之 后 ， 应 该 收集 企业 在 使 用 中 的 现 有 安全 策略 和 过 程 的 数据 。 
那些 关于 合 规 性 的 数据 也 应 该 收集 。 在 收集 到 这 些 信息 之 后 ， 就 可 以 分 
析 现 有 的 安全 集 略 和 过 程 ， 以 确定 它们 是 否 足 以 保护 企业 的 安全 。 此 
后 ， 应 该 进行 漏洞 和 威胁 分 析 。 企 业 所 面临 的 威胁 和 漏洞 应 该 根据 其 严 
重 性 进行 分 类 。 








最 后 ， 企 业 应 该 定义 可 接受 的 风险 ， 即 企业 能 够 承受 并 且 不 会 引发 
明显 后 果 的 风险 。 风 险 评 佑 之 后 又 接着 就 是 漏洞 评估 。 与 风险 管理 步骤 
中 的 漏 调 分 析 不 同 ， 漏 洞 评估 的 目的 在 于 识别 脆弱 资产 。 因 此 ， 应 该 对 
网 络 中 的 所 有 主机 进行 安全 检测 或 渗透 测试 ， 以 确定 它们 是 否 易 受 攻 
击 。 这 个 过 程 应 该 彻 展 而 准确 。 在 这 一 步骤 中 ， 如 果 漏 报 了 东 些 脆弱 的 





资产 ， 那 么 它们 可 能 成 为 被 黑客 利用 的 薄弱 环 证 。 因 此 ， 应 该 尽 可 能 地 
充分 利用 攻击 者 可 能 用 到 的 工具 来 进行 测试 。 


汤 洞 评估 步 又 之 后 应 该 进行 报告 以 及 对 补救 措施 进行 持续 跟踪 。 所 
有 已 识别 的 风险 和 漏洞 都 必须 报告 给 企业 的 利益 相关 者 。 报 告 应 该 相对 
全 面 ， 能 够 涵盖 企业 中 的 所 有 硬件 和 软件 资产 。 报 告 也 应 该 能 够 很 好 地 
满足 不 同 受众 的 需求 。 有 些 受 众 可 能 不 了 解 漏洞 的 技术 细 市 ， 因 此 ， 最 
好 为 他 们 提供 一 份 简化 版 的 报告 。 在 报告 之 后 ， 跟 踩 补 救 措 施 的 实施 情 
况 。 在 确定 了 企业 面临 的 风险 和 漏洞 之 后 ， 实 施 补救 措施 的 人 员 也 应 当 
明确 出 来 ， 并 员 成 他 们 确保 全 面 地 解决 所 有 风险 和 汤 洞 。 还 应 该 有 一 个 
精心 设计 的 途径 来 跟踪 补救 措施 的 实施 进度 。 我 们 在 13.4 节 讨论 过 的 那 
些 工 具 可 以 帮助 我 们 更 好 地 完成 这 个 任务 。 最 后 的 实施 环 贡 是 制订 啊 应 
计划 。 企 业 将 根据 这 一 计划 来 实施 针对 漏洞 需要 采取 的 措施 。 而 且 这 也 
古 对 前 面 5 个 步骤 是 否 执行 得 当 的 判断 。 在 啊 应 计划 中 ， 企 业 应 该 提出 
对 于 那些 已 经 识别 出 具有 茶 些 风险 或 漏 词 的 系统 进行 修补 、 更 新 或 升级 
的 方法 。 





划分 啊 应 计划 中 的 事项 执行 优先 级 时 ， 应 该 遵循 风险 和 漏洞 评估 步 
又 中 所 确定 的 严重 性 等 级 。 这 一 步骤 可 以 借助 资产 清单 来 实施 ， 以 便于 
企业 可 以 确保 其 所 有 资产 〈 包 括 硬 件 和 软件 ) ARAE m. yh, xA 
步骤 应 当 尽 快 执行 完毕 ， 因 为 这 是 在 同 黑客 赛跑 ， 他 们 绝 不 会 等 你 慢 慢 
修复 了 漏洞 之 后 再 来 发 动 攻击 。 在 最 后 ， 必 须 注意 从 安全 监控 系统 将 警 
报 发 送 给 事件 响应 者 起 ， 到 事件 啊 应 执行 完毕 之 间 所 花费 的 时 间 。 





13.6 ”漏洞 管理 最 佳 实践 


即便 可 以 使 用 最 好 的 工具 ， 但 执行 依然 是 漏洞 管理 中 最 为 重要 的 部 
分 。 因 此 ， 必 须 彻 砌 地 执行 13.5 节 所 提 到 的 各 项 措施 。 实 施 漏洞 管理 策 
略 的 每 个 步骤 都 有 一 组 最 佳 实践 。 


对 于 资产 清单 ， 企 业 应 该 建立 单一 职责 体系 。 如 果 资 产 清单 的 内 容 
不 能 得 到 及 时 更 新 或 者 和 实际 有 不 一 致 的 地 方 ， 那 么 最 终 应 该 只 由 一 个 
人 来 为 此 负责 。 另 一 个 最 佳 实践 是 至 励 在 数据 得 入 过 程 中 使 用 一 致 的 缩 
写 。 如 果 缩 写 在 不 断 变 化 ， 那 么 很 可 能 会 让 其 他 使 用 这 份 清单 的 人 感到 
困惑 。 清 单 也 应 该 至 少 每 年 进行 一 次 盘点 。 如 果 不 对 资产 清单 进行 盘 
点 ， 那 么 随 着 时 间 推 移 它 可 能 会 出 现 差 错 ， 这 些 错 误会 逐渐 累积 并 在 未 
来 的 茶 个 时 候 爆 发 出 来 。 最 后 ， 建 议 说 慎 地 对 竺 资产 管理 系统 的 变更 ， 
最 好 遵循 与 其 他 系统 的 变更 管理 相同 的 过 程 。 














在 安全 信息 管理 阶段 ， 企 业 应 当 问 尽 所 能 地 回 相 关 受 众 快速 有 效 地 
传递 信息 。 其 中 一 个 最 佳 实践 是 允许 员工 以 自 驱动 的 方式 订阅 邮件 列 
表 。 男 一 个 最 佳 实践 是 让 事件 啊 应 团队 通过 企业 内 部 网 站 向 企业 用 户 发 
布 报告 、 统 计 信 息 和 建议 。 企 业 还 可 以 定期 举行 会 议 ， 组 织 员工 讨论 新 
出 现 的 漏洞 、 病 毒 家 族 、 亚 意 活 动 以 及 社会 工程 学 技术 。 最 好 能 够 让 所 
有 员工 都 了 解 他 们 可 能 面临 的 威胁 以 及 如 何 有 效应 对 这 些 威胁 。 这 种 方 
式 比 使 用 邮件 列表 来 告诉 员工 们 去 做 一 些 他 们 不 了 解 的 涉及 技术 细节 的 
任务 要 更 具 影 响 力 。 最 后 ， 企 业 应 该 提供 一 个 标准 化 的 电子 邮件 模板 ， 
用 于 发 送 所 有 与 安全 性 相关 的 电子 邮件 。 邮 件 模 板 的 外 观 应 该 显著 区 别 
于 员工 们 日 党 工作 中 使 用 的 普通 电子 邮件 格式 。 




















风险 评估 步骤 是 漏洞 管理 生命 周期 中 对 人 工 参 与 要 求 最 高 的 阶段 之 
一 。 主 要 原因 在 于 没有 太 多 商业 工具 可 以 使 用 。 最 佳 实践 之 一 是 ， 一 旦 
有 新 漏洞 出 现 ， 就 立即 把 如 何 评 佑 这些 漏洞 的 方式 记录 下 来 。 往 后 知 此 
类 安全 漏洞 再 度 出 现 ， 那 么 由 于 已 经 知道 该 如 何 评估 其 风险 ， 因 此 便 可 
以 节省 出 大 量 的 时 间 ， 并 用 于 安全 漏洞 的 修复 工作 。 另 一 个 最 佳 实践 是 
将 风险 评级 发 布 给 公众 或 至 少 发 布 给 企业 中 的 所 有 人 。 风 险 评级 信息 可 
能 会 传播 开 来 ， 并 最 终 传 给 需要 这 个 信息 的 人 。 此 外 ， 建 议 在 这 个 阶段 
顺带 提供 以 及 更 新 资产 清单 ， 以 便于 在 分 析 风 险 期 间 杭 理 网 络 中 的 所 有 
主机 。 企 业 的 事件 啊 应 团队 还 应 该 维护 一 个 官 阵 图 ， 用 以 记录 企业 中 已 
经 部 普 了 的 安全 工具 及 其 可 以 提供 的 安全 防护 。 最 后 ， 企 业 应 确保 其 具 
有 严格 的 变更 管理 流程 ， 以 确保 新 加 入 的 员工 清楚 地 了 解 企业 当前 的 安 
全 状况 。 











漏洞 评估 步骤 与 风险 评估 步骤 没有 太 大 区 别 ， 因 此 两 者 可 以 借鉴 相 
同 的 最 佳 实践 。 除 了 在 风险 评估 中 讨论 的 那些 实践 以 外 ， 男 一 个 最 佳 实 
践 是 在 对 网 络 进行 测试 之 前 先 取 得 审批 同意 ， 这 是 因为 这 个 步 又 可 能 会 
对 企业 网 络 或 者 主机 造成 严重 破坏 。 因 此 ， 在 事前 进行 详细 的 计划 是 非 
常 有 必要 的 。 男 一 个 最 佳 实践 是 针对 特定 环境 (例如 不 同 的 操作 系统 ) 
创建 定制 化 的 集 略 。 








最 后 ， 企 业 应 该 选择 那些 最 适合 自己 实际 情况 的 扫描 工具 。 因 为 某 
些 工 具 的 扫描 可 能 会 有 些 过 度 ， 即 扫描 到 不 必要 的 深度 。 而 其 他 一 些 工 
具 的 扫描 强度 又 有 所 欠缺 ， 以 至 于 无 法 友 现 企业 网 络 中 的 漏洞 。 在 报告 
和 补救 措施 的 跟 踊 阶 段 ， 也 是 有 一 些 技巧 可 以 使 用 的 。 其 中 之 一 便 是 用 











可 徘 的 工具 癌 资 产 拥有 者 发 送 这 些 资 产 存在 的 漏洞 以 及 它们 是 否 已 完全 
被 修复 的 报告 ， 这 样 可 以 减少 很 多 沟通 成 本 。IT 人 员 还 应 该 与 管理 层 和 
其 他 利益 相关 者 进行 沟通 ， 以 了 解 他 们 想 要 什么 类 型 的 报告 。 报 告 中 提 
及 的 技术 细 市 到 底 要 细 到 什么 程度 也 应 该 事先 达成 共识 。 事件 啊 应 小 组 
还 应 就 补救 的 时 限 及 其 所 需 的 资源 与 管理 层 达 成 一 致 ， 并 且 明 确 指出 不 
采取 补救 措施 的 后 果 。 最 后 ， 应 该 按照 问题 的 严重 性 等 级 依次 进行 补 

救 。 因 此 ， 首 先 应 该 处 理 那些 风险 最 大 的 漏洞 。 











啊 应 计划 是 整个 漏洞 管理 过 程 的 最 后 一 个 步 台 。 这 个 步 又 将 实际 执 
行 针 对 不 同 漏洞 的 啊 应 计划 。 同 样 ， 也 有 一 些 最 佳 实践 可 以 采用 。 其 中 
之 一 是 把 啊 应 计划 明确 地 记录 下 来 ， 并 让 事件 啊 应 团队 和 普 明 用 户 熟 
知 。 此 外 ， 还 应 该 同 员 工 提 供 及 时 且 准 确 的 漏洞 修复 进度 信息 。 由 于 在 
更 新 系统 或 安装 补丁 程序 后 有 可 能 会 出 现 故 障 ， 因 此 也 应 该 同时 疝 员 工 
提供 IT 部 门 的 联系 信息 ， 以 便 员工 在 遇 到 这 种 情况 的 时 候 可 以 与 IT 团队 
及 时 取得 联系 。 最 后 ， 事 件 啊 应 团队 应 该 具有 适当 的 网 络 访问 权限 ， 以 
便 他 们 可 以 更 快 地 实施 修复 程序 。 











Verizon 在 2017 年 的 数据 泄露 调查 报告 中 指出 : 


WTE, A E thle aii 
洞 利 用 ) 中 ， 有 81% 的 比例 使 用 了 被 盗 的 密码 或 弱 密 码 ， 这 个 数字 
2016 年 的 63%。” 


13.7 目 我 评估 


从 许多 安全 报告 中 可 以 看 出 ， 大 多 数 网 络 攻 击 通 常 利用 的 是 最 基本 
的 、 不 被 人 注意 或 低估 了 的 安全 漏洞 ， 例 如 没有 及 时 打上 安全 补丁 、 使 
用 了 弱 密 码 、 使 用 了 基于 Web 的 个 人 电子 邮件 服务 以 及 缺乏 对 最 终 用 户 
的 教育 和 健全 的 安全 政策 ， 这 使 有 效 的 漏洞 评估 成 为 保护 数据 过 程 中 最 
为 天 键 的 一 步 。 





将 漏洞 评估 结合 到 业务 影响 中 


为 了 让 漏洞 评估 起 到 最 好 的 效果 ， 你 需要 深入 理解 企业 的 使 命 ， 换 
句 话 讲 ， 你 需要 理解 企业 想 要 达成 的 商业 愿景 是 什么 ， 涉 及 哪些 关键 流 
程 及 其 所 依赖 的 基础 架构 ， 并 将 这 种 理解 应 用 到 漏洞 评估 中 去 。 一 个 日 
有 成 效 的 漏洞 评估 应 该 包括 图 13-17 所 示 的 步骤 。 





发 挥 积极 作用 





企业 应 当 采 取 更 加 积极 的 措施 以 确保 安全 ， 这 一 点 非常 重要 。 例 
如 ， 积 极地 对 潜在 供应 商 进行 第 选 ， 积 极 参与 工作 范围 的 界定 ， 主 动向 
安全 顾问 提供 他 们 完成 工作 所 需 的 各 种 信息 ， 并 积极 参与 到 这 个 过 程 
中 。 








对 漏洞 进行 研究 能 够 帮助 
企业 改进 其 产品 的 安全 性 ， 
A ae 


和 漏洞 情报 提供 者 紧密 合 | 从 情报 源头 处 及 时 获取 第 
作 以 实施 企业 风险 管理 。 || 一 手 信息 以 开展 漏洞 管理 。 





ue 正在 与 这 样 的 研究 | 在 确保 最 新 的 漏洞 出 现时 ， 

合作 ， 他 们 拥有 丰富 || 你 总 是 能 在 第 一 时 间 获 知 

的 有 专业 的 知识 来 识 || 该 信息 并 清楚 地 知道 漏洞 漏洞 情报 应 该 是 企业 呆 安 

别 漏洞 ee Š 并 及 时 开展 修 全 基础 设施 中 重要 的 组 成 
部 分 。 

















图 13-17 
识别 并 了 解 业务 流程 


企业 应 当 把 关注 点 始终 放 在 合 规 性 、 用 户 隐私 以 及 竞争 优势 这 些 至 
关 重 要 又 相当 敏感 的 方面 。 在 许多 金融 企业 中 ， 这 个 过 程 需要 IT 部 门 与 
业务 部 门 的 决策 者 和 法 律 顾问 进行 协作 。 安 全 策略 应 该 由 来 自 每 个 部 门 
的 代表 所 组 成 的 工作 小 组 来 共同 制定 ， 他 们 最 清楚 业务 流程 及 其 所 依赖 
的 信息 和 基础 架构 。 最 主要 的 目的 是 深入 且 透 彻 地 理解 业务 流程 ， 并 且 
把 分 析 业 务 流 程 的 过 程 和 方式 方法 记录 下 来 。 








但 明 应 用 程序 和 数据 








应 该 根据 任务 的 关键 程度 和 敏感 性 来 确定 业务 流程 的 优先 级 ， 并 且 
一 旦 确定 了 业务 流程 ， 下 一 步 就 是 识别 企业 为 了 完成 自己 的 使 命 而 依赖 
的 应 用 程序 和 数据 。 同 样 ， 在 此 步骤 中 ，IT 部 门 与 业务 部 门 之 间 的 协作 
非常 重要 。 


找 出 隐藏 的 数据 源 





漏洞 评估 不 仅仅 只 是 针对 服务 器 和 计算 机 ， 还 应 该 针对 移动 设备 、 
智能 手机 和 平板 电脑 。 在 大 多 数 情况 下 ， 设 备 上 的 数据 都 存储 在 本 地 ， 
但 是 也 有 不 少 特殊 情况 ， 例 如 云 存储 。 此 外 ， 还 需要 了 解 企 业 的 工作 方 
式 ， 了 解 谁 经 常 移 动 办 公 ， 谁 需要 与 合作 伙伴 和 客户 共享 信息 ， 并 绘制 
出 能 够 反应 数据 如 何在 这 些 设备 、 应 用 程序 、 数 据 存 储 之 间 流 动 的 数据 
流 图 。Microsoft Office 365 人 允许 员工 随时 随地 在 任何 设备 上 获取 他 们 要 
执行 的 关键 任务 所 需要 的 信息 。 男 外 ， 还 需要 确定 企业 用 户 是 否 通 过 公 
共 渠 道 (例如 Outlook、Gmail 或 Yahoo 邮 箱 〉 发送 企业 电子 邮件 。 同 
时 ， 也 请 与 开 友 人员 联系 以 检查 其 非 生产 环境 中 的 数据 存储 ， 因 为 他 们 
经 常 使 用 重要 的 关键 数据 来 对 应 用 程序 进行 测试 。 


确定 关键 基础 设施 及 其 架构 


需要 深入 研究 基础 设施 ， 识 别 出 哪 些 服 务 器 无 论 是 虚拟 机 还 古物 
理 计算 机 ) 运行 着 完成 企业 关键 任务 的 应 用 程序 ， 并 且 识 别 出 关 键 数 据 
存储 在 哪些 存储 设备 上 。 


将 网 络 基础 架构 映射 到 硬件 


识别 出 网 络 基础 架构 的 详细 信息 ， 例 如 应 用 程序 和 服务 器 所 依赖 的 
路 由 器 和 其 他 网 络 设备 。 另 外 ， 还 需要 标识 出 子 网 ， 因 为 它们 可 能 在 逻 
辑 上 或 物理 上 是 隔离 开 的， 而 且 一 些 敏感 资产 可 能 就 存储 在 东 个 子 网 
里 。 了 解 网 络 基 础 架构 ， 可 以 帮助 你 清楚 地 知道 数据 在 基础 架构 中 是 如 








何 传输 的 。 
识别 控制 措施 


把 企业 当前 已 经 采取 了 的 安全 措施 ， 包 括 安 全 政策 、 技 术 控 制 措施 
以 及 任何 可 能 的 保护 功能 都 确定 并 记录 下 来 ， 然 后 寻求 能 够 尽 可 能 避 
免 、 防 御 漏洞 的 最 佳 方法 。 最 后 ， 确 保 这 个 过 程 采 取 了 深度 防御 策略 。 





运行 漏洞 扫描 


至 此 ， 在 完成 了 上 述 所 有 步 又 之 后 ， 你 可 以 清楚 地 知道 企业 中 有 哪 
些 应 用 程序 、 数 据 如 何 流 动 、 有 哪些 硬件 和 网 络 基 础 架构 以 及 目前 已 经 
采取 了 哪些 安全 控制 措施 。 现 在 ， 你 可 以 开始 执行 漏洞 扫描 了 ， 并 且 专 
注 于 解决 发 现 的 问题 。 很 多 公司 经 常会 犯 的 一 个 错误 是 通过 扫描 来 确定 


要 实施 哪些 漏洞 修补 工作 ， 而 不 是 通过 扫描 来 验证 汤 洞 修补 是 否 成 功 。 
这 一 错误 的 做 法 将 使 企业 更 容易 遭受 更 大 的 威胁 。 
解读 扫描 结果 


你 的 漏洞 扫 摘 程序 很 可 能 会 生成 一 个 分 数 ， 这 个 分 数 可 能 会 吓 到 
你 。 原 因 在 于 ， 这 个 分 数 所 显示 出 的 问题 严重 程度 可 能 更 有 助 于 你 推动 
业务 负 贡 人、 风险 管理 人 员 开 展 整改 工作 。 或 者 ， 这 个 分 数 虽 然 看 上 去 
情况 严重 ， 但 基于 以 前 的 经验 和 风险 承受 能 力 ， 企 业 可 能 会 选择 接受 或 
忽略 这 些 风险 。 从 漏洞 数据 中 分 析出 对 业务 的 准确 影响 和 风险 ， 并 提出 
可 实际 操作 的 鳌 改 行动 方案 是 一 项 复杂 而 艰巨 的 任务 ， 但 也 是 极其 重要 














的 一 步 。 例 如 ， 同 一 个 安全 漏洞 既 出 现在 了 受到 应 用 程序 防火 墙 、 加 密 
以 及 其 他 防护 措施 保护 的 服务 器 上 ， 又 出 现在 了 没有 受到 多 少 安全 保护 
的 测试 和 开发 环境 中 ， 那 么 前 者 的 重要 或 者 紧迫 程度 可 能 不 如 后 者 那么 
高 。 尤 其 是 漏洞 让 及 的 数据 还 面临 痢 严格 的 合 规 性 要 求 的 时 候 。 图 13- 
18 展 示 了 风险 管理 集 略 中 的 不 同 决策 。 


风险 管理 策略 





进行 第 三 方 渗透 测试 








在 完成 了 漏洞 评估 之 后 ， 并 且 企 业 认为 已 经 修复 了 足够 多 的 问题 使 
得 其 安全 状况 大 有 改善 的 时 候 ， 还 应 该 在 适当 的 范围 内 执行 渗透 测试 以 
验证 漏洞 修复 措施 是 舍 有 效 ， 如 图 13-19 所 示 。 





守住 入 口 
确认 防火 墙 配置 正确 安装 IPS， 反 病毒 ， 阻 止 恶意 软件 足够 安全 的 策略 及 流程 


站 稳 脚跟 
使 用 多 因素 身份 认证 保护 远程 访问 对 员工 进行 社会 工程 学 安全 教育 









对 抗 漏洞 利用 程序 


fe Fj 严格 限制 对 个 人 识别 信息 (Personally 
ASR eee Identifiable Information, PII) 和 敏感 灾 备 计划 ， 以 及 风险 管理 


信息 的 访问 ， 以 及 考虑 数据 加 密 


| 


对 抗 攻 击 痕 迹 掩盖 
实施 安全 审计 实施 法 律 审计 对 超级 管理 员 进 行 限制 、 监 控 


| 


图 13-19 
13.8 理解 风险 管理 


如 图 13-20 所 示 ， 风 险 管理 是 对 风险 的 识别 、 评 估 和 优先 级 划分 
(根据 ISO 31000 的 定义 ) ， 随 后 是 对 资源 进行 有 效 的 使 用 ， 以 最 大 限 
度 地 减少 、 监 视 和 控制 安全 事件 发 生 的 可 能 性 或 其 可 能 造成 的 影响 。 


+ O ete: 


图 13-20 





风险 管理 涵盖 以 下 步骤 ， 如 图 13-21 所 示 。 


识别 现 有 安全 控制 措施 


识别 安全 漏洞 


g 


识别 安全 漏洞 可 能 
a BRAY a R 





图 13-21 


。 对 资产 进行 监控 。 一 旦 实施 了 风险 管理 计划 中 定义 的 措施 ， 你 就 需 
要 持续 监控 资产 以 关注 其 安全 风险 。 
o 定义 价值 要 系 。 
o 识别 资产 。 
o 保护 资产 (漏洞 管理 在 其 中 发 挥 着 重要 作用 〉。 
o 跟踪 风险 的 变化 。 随 着 时 间 的 推移 ， 企 业 的 硬件 、 软 件 、 人 员 和 业 
务 流程 在 不 断 变化 ， 安 全 风险 可 能 会 增加 也 可 能 会 减少 。 同 样 ， 针 
对 资产 和 漏洞 的 威胁 也 将 不 断 发 展 进化 ， 并 且 变 得 越发 的 复杂 。 


在 风险 管理 过 程 中 还 应 该 考虑 下 面 这 些 关 键 安 全 原则 : 
© 仅 授予 完成 任务 所 需 的 最 小 权限 ; 





在 网 络 各 个 层 中 均 实 施 安全 防御 措施 ; 

减少 攻击 面 ; 

避免 假设 ; 

保护 、 检 测 以 及 啊 应 ; 

在 设计 时 即 考虑 安全 、 默 认 安全 设计 以 及 部 壮 安 全 。 


13.9 ”纵深 防御 方法 


纵深 防御 (Defense in Depth) 原则 提供 了 多 层次 的 漏洞 缓解 措施 
或 保护 机 制 ， 以 便 在 其 中 一 种 安全 机 制 失 效 的 情况 下 ， 还 有 其 他 保护 措 
施 可 以 保护 资产 免 遭 攻击 ， 如 图 13-22 所 示 。 纵 深 防 御 是 非常 重要 的 安 
全 最 佳 实践 。 在 许多 情况 下 ， 比 起 单一 防御 措施 ， 恨 好 设计 的 纵深 防御 
音 施 可 以 更 有 效 地 提供 针对 漏洞 的 防护 。 在 考虑 漏洞 缓解 设计 或 者 架构 
设计 的 时 候 尤 其 如 此 。 











治理 、 风 险 管 理 、 合 规 身份 及 访问 管理 


数据 库 安 全 〈 云 仓储 及 备份 ) 

一 内 容 安全 、 信 息 权 限 管 理 

信息 级 别 安全 

统一 身份 认证 (SSO、 身 份 传递 、 信 任 ……) 


身份 认证 、 授 权 、 审 计 (3A， 即 Authentication、 
Authorization, Auditing) 


主机 安全 保障 (安全 编码 实 贱 ) 

平公、 操作 系统 漏洞 管理 (补丁) 

内 网 用 户 终端 〈 恶 意 软件 防护 ) 

BERAE OIR SHAW) 

网 络 边 办 .防火 堪 、 网 络 地 址 转换 、 预 防 拒绝 服务 攻击 、 
TAN BIE 














物理 环 培 ME Sh Ma B HE TMe 


政策 、 流 程 、 安 全 意识 数据 分 级 、 密 码 强度 、 代 码 审计 、 使 用 政策 


图 13-22 


保护 企业 安全 的 最 佳 实践 








对 平台 进行 投资 。 敏 捷 性 和 可 扩展 性 需要 前 瞻 性 思维 ， 并 且 需 要 构 
建 出 一 个 文 撑 性 的 平台 。 为 此 ， 你 需要 尽 可 能 做 到 下 面 这 些 。 


。 拥有 一 份 高 质量 的 资产 清单 。 

。 有 明确 定义 的 安全 政策 ， 这 将 为 你 的 企业 提供 清晰 的 愿景 、 标 准 和 
指南 。 

。 保持 恨 好 的 “卫生 习惯 >， 因 为 大 多 数 攻 击 可 以 通过 及 时 的 补丁 安 
装 、 病 毒 防护 软件 以 及 号 份 监 控 来 防止 。 

。 采用 多 因 系 身份 认证 以 加 强 对 账号 和 设备 的 保护 。 





对 工具 进行 投资 。 通 过 执行 以 下 操作 ， 确 保 能 够 全 面 度量 平台 中 的 
各 项 元 系 。 


。 获取 或 者 构建 工具 以 全 面 监视 网 络 、 主 机 和 日 志 。 

。 积极 维护 安全 控制 措施 ， 并 定期 对 其 进行 测试 以 确保 其 准确 性 和 有 
效 性 。 

。 对 变更 管理 政策 进行 严格 的 控制 。 

。 上 监控 账号 腊 津 活动 以 防止 账号 被 滥 


对 人 员 进 行 投 资 。 熟 练 的 分 析 师 和 数据 科学 家 是 防御 的 基础 ， 与 此 
同时 ， 用 户 可 以 是 新 的 安全 边界 。 你 可 以 采取 以 下 措施 以 确保 这 一 点 能 
够 实现 。 

。 在 事件 啊 应 团队 和 其 他 团队 之 间 建 立 沟通 渠道 。 


。 采用 最 小 权限 原则 来 管理 特权 账号 ; 在 理想 情况 下 ， 经 党 性 地 评 佑 
账号 所 拥有 的 管理 员 权 限 ， 并 及 时 移 除 不 需要 的 权限 以 最 小 化 攻击 


面 。 

。 从 历次 重大 事件 中 汲取 经 验 教 训 。 

。 教育 、 授 权 以 及 支持 员工 ， 让 他 们 理解 当前 面临 的 威胁 ， 以 及 他 们 
应 当 如 何 保护 业务 数据 。 


13.10 小结 
在 本 章 中 ， 我 们 介绍 了 威胁 和 漏洞 管理 ， 同 时 也 介绍 了 建立 漏洞 管 


理 策 略 所 需 的 关键 原则 ， 以 及 在 这 个 领域 中 可 以 使 用 的 各 种 实用 工具 和 
服务 。 第 14 章 介绍 审计 、 风 险 管 理 以 及 事件 处 理 。 





第 14 章 ”审计 、 风 险 管 理 以 及 事件 处 理 





在 保护 企业 免 受 网 络 攻 击 ， 并 制订 计划 以 妥善 应 对 攻击 方面 ， 现 如 
今 的 企业 持续 承受 着 压力 。 与 此 同时 ， 他 们 还 需要 遵守 政府 和 金融 监管 
机 构 日 普 增 加 的 法 律 法 规 。 这 些 法 律 法 规 希 望 保 护 的 东西 通常 也 是 网 络 
罪犯 的 攻击 目标 ， 例 如 数据 。 下 面 是 一 些 重 要 的 法 规 : 











。 《健康 信息 携带 和 责任 法 案 》 (HealthInsurance Portability and 
Accountability Act, HIPAA) 在 美国 管辖 范围 内 适用 ，HIPAA 监 
管 有 关 患 者 健康 信息 的 收集 、 存 储 和 共享 ; 

《通用 数据 保护 条 例 》 (General Data Protection Regulation， 
GDPR) 适用 于 欧盟 ，GDPR 致 力 于 保护 用 户 的 隐私 数据 ; 

《公平 信用 报告 法 》 (Fair Credit Reporting Act，FCRA) 适用 
于 美国 ，FCRA 限 制 企 业 对 个 人 财务 信息 的 收集 、 使 用 和 共享 ; 

《儿童 在 线 隐私 保护 法 》 (Children’s Online Privacy Protection 
Act, COPPA) 适用 于 美国 ，COPPA 禁 止 企业 收集 13 岁 以 下 用 户 的 
有 关 数 据 。 





企业 必须 遵守 所 有 这 些 法 规 ， 并 且 无 论 在 何 种 情况 下 ， 违 规 行为 都 
会 受到 签 避 。 例 如 ， 有 许多 关于 保护 用 户 数据 的 法 律 ， 而 黑客 又 对 用 户 
数据 有 极 大 的 兴趣 。 如 果 企 业 所 保存 的 用 户 数据 但 到 破坏 并 且 被 盗 ， 那 
么 企业 将 承担 因为 没有 遵守 法 规 以 及 因为 攻击 而 导致 客户 流失 所 造成 的 
成 本 。 由 于 网 络 攻击 带 来 的 后 果 的 严重 性 ， 企 业已 将 越 来 越 多 的 精力 集 
中 在 避免 此 类 事件 的 发 生 上 。 因 此 ， 很 多 企业 开展 开 审计 ， 





全 面 识别 开 基 础 设施 中 的 薄弱 点 ， 以 期 在 安全 事件 友 生 前 将 其 修 
复 。 但 由 于 不 存在 100% 的 安全 ， 因 此 企业 也 应 将 部 分 重点 放 在 网 络 健 
壮 上 ， 提 升 安 全 事件 处 理 能 力 。 本 章 将 讨论 以 下 几 个 主题 : 














。 IT 审计 ; 
s 风险 管理 ; 
。 事件 处 理 。 


14.1 IT 审计 





这 是 指 全 面 检查 企业 的 所 有 IT 基础 设施 。 除 此 之 外 ， 开 审计 也 把 企 
业 建 立 的 安全 政策 、 标 准 和 过 程 涵盖 在 内 。 因 此 ， 完 整 的 审计 过 程 能 够 
确定 企业 是 否 具 有 足够 的 控制 措施 来 保护 其 IT 资产 、 数 据 ， 以 及 确保 其 
实现 业务 目标 。 企 业 大 多 依靠 IT 框架 来 确保 审计 能 够 系统 性 地 、 标 准 化 
地 实施 。Cobit、ISO 27001 和 NIST 是 I 审计 中 常用 的 框架 。 下 面 是 关于 
企业 为 何 需要 进行 民 审 计 的 更 为 深入 的 说 明 。 





14.1.1 ”对 确保 企业 安全 的 系统 、 策 略 和 流程 进 
行 评估 





随 着 网 络 攻 击 事件 的 增多 ，IT 安 全 管理 人 员 不 得 不 为 I 基础 设施 添 
加 更 多 的 安全 解决 方案 。 这 些 安全 解决 方案 的 范围 相当 广泛 ， 既 有 物理 
访问 控制 ， 也 有 软件 访问 控制 ， 因 为 硬件 安全 和 软件 安全 是 同等 重要 
的 。 为 确保 这 些 安全 解决 方案 按 预 期 工作 ， 企 业 需 要 定期 对 它们 进行 评 
佑 。IT 审 计 则 将 对 这 些 解决 方案 中 用 到 的 配置 或 流程 进行 检查 ， 判 断 其 











古 否 存在 漏洞 ， 使 得 内 部 和 外 部 威胁 可 以 利用 这 些 漏洞 友 起 攻击 。 如 果 
发 现 了 漏洞 ， 审 计 团 队 可 以 同 企业 提供 关于 需要 采取 哪些 措施 来 填补 漏 
洞 的 建议 。 安 全 政策 也 是 审计 期 间 要 关注 的 领域 。 安 全 政策 通 冲 把 整个 
IT 基础 设施 涵 凋 在 内 ， 并 且 包 括 内 部 和 外 部 的 安全 控制 。 如 果 安 全 政 

朱 、 标 准 和 过 程 存在 缺陷 ， 则 可 能 导致 企业 在 未 来 出 现 安全 问题 。 此 

外 ， 审 计 有 助 于 确定 安全 政策 的 合 规 性 。 例 如 ， 如 果 安 全 政策 要 求 员 工 
设置 8 个 字符 长 度 的 密码 ， 那 么 审计 可 能 会 发 现 是 否 有 一 些 员 工 违反 了 
BUR 











14.1.2 ”确定 公司 资产 面临 的 风险 


IT 审 计 有 助 于 发 现 企 业 面 临 的 风险 。 如 前 所 述 ， 审 计 人 员 梳 理 企业 
的 内 部 和 外 部 安全 控制 措施 。 在 这 个 过 程 中 ， 他 们 也 将 发 现 与 这 些 安全 
控制 措施 相关 的 风险 。 此 外 ， 他 们 还 审查 企业 安全 政策 。 在 审计 过 程 
中 ， 他 们 可 能 会 发 现 不 充分 的 政策 或 整 大 于 利 的 政策 。 审 计 过 程 会 涉及 
很 多 事情 ， 并 且 审 计 实 质 上 会 通 及 企业 的 每 个 部 分 。 从 系统 到 物理 上 的 
安全 安装 ， 审 计 都 需要 仔细 进行 ， 目 的 是 发 现 企业 可 能 存在 的 任何 缺陷 
或 漏洞 。 在 审计 结束 时 ， 企 业 将 得 知 其 面临 的 绝 大 多 数 风 险 。 











14.1.3 ”确保 企业 遵循 相关 法 规 


IT 部 门 需 要 满足 外 部 法 规 所 设立 的 强制 要 求 ， 这 些 要 求 对 任何 企业 
都 一 视 同仁 。 由 于 企业 的 系统 可 能 修 来 日 世界 各 地 的 用 户 使 用 ， 因 此 要 
遵循 的 法 律 法 规 可 能 比 企业 意识 到 的 要 多 。 例 如 《通用 数据 保护 条 例 》 





(GDPR) ， 尺 管 它 就 事实 上 而 言 仅 针对 欧盟 地 区 ， 但 却 影响 着 全 球 的 
企业 。 在 特定 地 理 区 域内 生效 但 却 对 整个 世界 范围 内 的 企业 都 适用 的 法 
律 的 例子 还 有 很 多 。 因 为 互联 网 连接 了 全 世界 的 用 户 ， 所 以 如 果 你 建立 
的 网 上 商店 需要 收集 用 户 的 个 人 详细 信息 ， 那 么 就 可 能 需要 考虑 GDPR 
合 规 。 欧 盟 公 民 可 能 会 在 你 的 网 站 上 注册 ， 如 果 出 现 安全 问题 并 且 他 们 
投诉 你 的 网 站 不 符合 GDPR， 那 么 你 就 可 能 会 受到 重 昼 。 审 计 的 好 处 就 
在 于 它 具 有 全 面 性 ， 它 将 梳理 并 确定 企业 需要 合 规 的 所 有 领域 。 由 于 审 
计 师 具有 丰富 的 经 验 ， 因 此 他 们 可 以 轻松 地 找 出 被 企业 忽视 了 的 需要 合 
规 的 领域 。 这 可 以 让 企业 避 开 许多 麻烦 ， 尤 其 是 由 于 诉讼 和 违规 而 遭受 
的 如 款 。 








14.1.4 识别 IT 基础 设施 和 管理 中 的 低 效 之 处 





许多 企业 的 开 基 础 设施 变 得 越 来 越 复 杂 ， 工 作 场 所 的 现代 化 趋势 不 
晰 发 展 。 因 此 ， 更 多 部 门 正 在 使 用 ERP。 承 包 商 和 供应 商 通过 他 们 自己 
的 系统 与 企业 进行 交互 。 日 常 操作 也 在 逐步 自动 化 。 除 此 之 外 ， 工 部 门 
还 在 企业 中 部 署 运 行 各 种 各 样 的 开 系 统 和 解决 方案 。 最 终 的 结果 是 形成 
了 一 套 复 杂 的 开 基 础 设施 。 由 于 开 基 础 设施 的 复杂 性 ， 企 业 很 容易 遇 到 
低 效 陷阱 。 但 是 ， 审 计 可 以 帮助 企业 识别 这 些 低 效 陷阱 。 在 检查 流程 
时 ， 审 计 人 员 可 能 判断 出 在 哪些 地 方 或 者 在 哪个 系统 中 存在 不 必要 的 延 
迟 ， 或 者 在 哪里 又 需 要 建立 茶 种 连接 。 





除了 基础 设施 之 外 ， 审 计 还 可 能 揭示 管理 方面 的 一 些 低 效率 之 处 。 
对 于 复杂 的 IT 部 门 ， 可 能 会 出 现 一 些 效率 低下 的 情况 ， 尤 其 是 在 为 员工 


分 配 东 些 特殊 角色 的 时 候 。 例 如 ， 有 许多 交易 操作 可 能 需要 IT 部 门 经 理 
的 批准 ， 而 IT 部 门 经 理 却 可 能 忙于 处 理 许多 其 他 任务 ， 以 至 于 他 在 批准 
交易 这 件 事情 上 反应 迟钝 。 如 果 能 够 授权 其 他 IT 人 员 进行 批 准 ， 就 可 以 
更 快 地 进行 交易 操作 。 因 此 ， 在 审计 过 程 中 ， 审 计 团队 将 密切 关注 流程 
和 IT 部 门 的 治理 。 他 们 将 热衷 于 找 出 因 IT 管 理 而 导致 的 效率 低下 的 领 
域 ， 并 就 如 何 避 免 这 种 情况 提供 指导 。 


但 是 ， 审 计 也 存在 着 一 些 局 限 性 ， 不 应 将 其 视 为 纠正 企业 中 所 有 错 
误 的 唯一 手段 。 并 不 是 任何 一 件 事情 都 是 可 审计 的 。 有 一 些 重大 风险 无 
法 通过 审计 发 现 ， 这 就 是 企业 还 应 该 持续 开展 完善 的 风险 管理 过 程 的 原 
Kl. 








14.2 ”风险 管理 


IT 中 的 风险 管理 涉及 风险 的 识别 、 奶 踪 和 管理 。 风 险 管理 通常 需要 
在 使 用 安全 解决 方 宁 所 础 来 的 成 本 和 企业 受到 保护 而 产生 的 收益 之 间 取 
得 良好 的 平衡 。 简 而 言 之 ， 风 险 管理 使 企业 可 以 将 更 多 的 钱 花 在 普 人 过 或 
更 具 威 胁 性 的 风险 上 ， 而 将 更 少 的 钱 花 在 微不足道 的 风险 上 。 风 险 第 伴 
企业 左右 ， 无 论 何 时 ， 企 业 始 终 面临 厦 网 络 安全 风险 。 因 此 ， 对 企业 而 
言 ， 最 重要 的 是 识别 和 管理 其 IT 基础 设施 和 数据 所 面临 的 风险 。IT 风 险 
管理 所 涵盖 的 范围 应 当 尺 可 能 广泛 ， 因 为 风险 可 能 来 自 很 多 不 同 的 方 
面 。 人 为 错误 、 目 然 灾害 、 网 络 攻击 者 以 及 硬件 故障 等 都 是 导致 风险 的 
潜在 因素 。 企 业 中 的 风险 管理 通常 可 以 分 为 5 个 步骤 。 




















14.2.1 ”风险 识别 





这 是 风险 管理 流程 中 的 第 一 步 。 此 时 ， 企 业 将 专注 于 发 现 和 获取 有 


天 其 面临 的 风险 的 详细 信息 。 如 前 所 述 ， 风 险 可 能 源 目 不 同 的 事物 ， 因 
此 在 识别 风险 时 ， 相 关 人 员 必 须 保持 开放 的 态度 。 财 务 上 的 不 确定 性 、 
不 断 变 化 的 法 律 法 规 、 企 业内 部 管理 问题 、 事 故 和 灾难 都 可 能 成 为 风险 
的 来 源 。 风 险 目 身 也 会 发 生变 化 ， 因 此 风险 管理 也 应 经 名 性 地 重复 开 


展 。 











可 以 使 用 下 面 的 策略 来 识别 企业 所 面临 的 绝 大 多 数 风险 。 











访谈 。 与 企业 中 的 不 同人 员 进 行 访 谈 有 助 于 发 现 许多 潜在 风险 。 例 
如 ， 与 保安 进行 访谈 有 助 于 发 现 物理 安全 控制 方面 的 风险 。 和 普通 
用 户 访谈 有 助 于 发 现 与 系统 账号 以 及 他 们 所 使 用 的 硬件 相关 的 风 

险 。 通 过 访谈 可 以 发 现 各 种 各 样 的 风险 ， 有 些 风险 能 够 从 受 保护 的 
企业 资产 的 用 户 那 里 发 现 ， 有 些 可 以 从 负责 执行 茶 些 安全 控制 措施 
的 人 员 那 里 发 现 。 

检查 清单 。 通 过 上 面 的 访谈 手段 ， 可 能 在 很 长 一 段 时 间 里 会 发 现 茶 
些 风险 非常 常见 ， 由 于 这 些 风险 经 常 个 识别 出 来 ， 因 此 识别 风险 的 
团队 可 以 把 它们 加 入 检查 清单 进行 检查 。 但 是 ， 这 种 方法 仪 适用 于 
那些 已 经 建立 了 相关 机 制 ， 通 过 检查 清单 可 以 识别 常见 风险 的 企 

业 。 史 外， 检查 清单 无 法 发 现 新 的 风险 。 

假设 安全 风险 存在 。 在 某 些 情况 下 ， 即 使 没有 直接 证 据 来 提供 证 

明 ， 但 如 宁 存 在 能 够 文 撑 安 全 风险 确实 存在 这 个 假设 的 间接 证 据 ， 
那么 也 可 以 认为 安全 风险 是 存在 的 。 例 如 ， 可 以 假设 用 户 在 一 个 没 
有 对 密码 提出 具体 要 求 的 系统 中 会 创建 出 弱 密 码 ， 即 使 用 户 密码 是 
未 知 的 ， 也 可 以 合理 地 假设 如 宋 系统 对 用 户 密 码 强度 没有 要 求 ， 那 
么 就 会 导致 用 户 创建 出 弱 密 码 。 

















14.2.2 ”风险 分 析 


一 旦 识别 了 风险 ， 融 需要 对 风险 发 生 的 概率 和 可 能 造成 的 影 啊 进 行 
分 析 。 如 前 所 述 ， 风 险 管 理 可 以 帮助 企业 在 重大 风险 上 进行 更 多 的 资源 
投入 ， 而 在 那些 低 概率 风险 上 投入 较 少 的 资源 。 为 了 确保 企业 了 解 风险 
的 性 质 及 其 可 能 对 企业 造成 的 后 果 ， 风 险 分 析 是 一 个 非常 关键 的 步骤。 
在 这 个 步骤 中 所 获得 的 信息 对 整个 风险 管理 过 程 而 言 相当 重要 ， 并 且 可 
能 决定 着 风险 管理 工作 的 成 败 。 风 险 分 析 通 过 定性 或 定量 来 完成 。 无 论 
采用 哪 种 方式 ， 都 需要 从 多 个 指标 来 分 析 风 险 对 企业 可 能 造成 的 影响 ， 
例如 计划 、 进 度 、 预 算 以 及 所 占用 资源 等 。 




















14.2.3 ”风险 评估 








这 是 对 风险 的 深入 评 佑 ， 这 一 步 着 眼 于 风险 发 生 的 可 能 性 及 其 后 
果 。 由 此 ， 企 业 可 以 确定 风险 是 否 可 以 被 接受 。 这 其 实 是 在 对 风险 进行 
过 小 ， 那 些 可 被 接受 的 风险 只 能 分 配 到 低 优先 级 ， 因 为 这 些 风险 不 会 造 
成 太 大 损害 ， 企 业已 经 做 好 承担 这 些 风险 的 准备 。 





14.2.4 ”风险 绥 解 





这 一 步 ， 企 业 将 对 那些 不 可 接受 的 风险 实施 缓解 措施 。 企 业 将 采取 
各 种 措施 以 应 对 这 些 风险 ， 以 确保 风险 不 会 发 生 ， 而 且 束 算 风险 发生 
了 ， 对 企业 所 造成 的 影响 也 会 非常 小 。 因 此 ， 绥 解 风 险 的 措施 将 同时 包 








括 预 防 策略 和 应 急 啊 应 计划 。 预 防 策略 将 降低 风险 发 生 的 概率 ， 而 当 风 
险 确 实 及 生 时 ， 应 急 啊 应 计划 将 对 风险 进行 处 理 。 


14.2.5 ”风险 监控 


风险 缓解 并 不 是 风险 管理 的 终点 。 随 着 时 间 的 推移 ， 风 险 所 造成 的 
影响 的 严重 性 或 者 发 生 的 概率 会 发 生 改 变 ， 其 优先 级 也 会 随 之 改变 。 因 
此 ， 应 该 持续 地 对 风险 进行 跟 进 。 风 险 监 控 包 括 定 期 审查 和 更 新 风险 。 
除 此 之 外 ， 也 包括 发 现 新 的 风险 。 











企业 可 以 采用 以 下 4 种 方法 来 应 对 风险 。 


规 导 风险 。 企 业 采 用 不 具有 茶 些 风险 特征 的 措施 来 完全 规避 风险 的 
BEE. 

BERIE o SRA AT YAS SEE BR AER Da Bir AQ AE Ja AY Rer AE BI o 

风险 共享 。 这 是 一 种 聪明 的 方法 ， 企 业 可 以 将 风险 发 生 的 后 果 转 移 
给 第 三 方 ， 例 如 供应 商 。 

风险 保留 。 如 果 企 业 的 其 他 业务 目标 具有 更 高 的 优先 级 ， 就 可 以 采 
用 此 方法 。 因 此 ， 与 其 解决 风险 ， 企 业 宁 可 将 风险 保留 在 一 定 水 平 
上 ， 但 前 提 是 这 样 做 所 市 省 出 来 的 资源 投入 其 他 事项 上 可 以 市 来 更 
多 的 收益 。 











14.3 ”事件 处 理 





事件 处 理 是 企业 对 攻击 的 啊 应 。 如 果 事 件 处 理 得 当 ， 可 以 避免 攻击 
造成 更 大 的 破坏 。 如 末 事 件 处 理 不善 ， 可 能 会 造成 进一步 的 灾难 。 本 世 


将 重点 介绍 企业 应 该 如 何以 正确 的 方式 处 理事 件 以 及 应 该 遵循 的 步 又。 


14.3.1 准备 








这 是 事件 处 理 的 第 一 步 。 企 业 需 要 在 安全 事件 发 生 之 前 就 做 好 应 对 
这 些 事件 的 准备 ， 因 此 准备 工作 是 关键 。 有 效 的 准备 工作 不 仅 可 以 降低 
安全 事件 的 发 生 概率 ， 而 且 还 有 助 于 企业 从 安全 事件 中 快速 恢复 。 准 备 
工作 可 以 通过 多 种 方式 进行 ， 可 以 从 企业 将 如 何 啊 应 安全 事件 以 及 由 谁 
负责 的 书面 政策 说 明 开 始 。 准 备 工 作 还 可 能 需要 实施 备份 解决 方案 、 密 
切 关 注 软件 补丁 程序 、 安 闭 防 病毒 更 新 程序 。 这 些 过 程 可 以 让 企业 始终 
处 于 准备 就 绪 的 状态 ， 以 随时 处 理 安全 事件 。 





14.3.2 ”检测 


一 旦 企业 做 好 应 对 事件 的 准备 ， 下 一 步 束 是 检测 事件 及 生 的 时 间 和 
地 点 。 识 别 往往 会 有 些 困 难 ， 尤 其 是 攻击 者 还 会 在 攻击 中 隐藏 其 攻击 手 
段 。 因 此 ， 需 要 一 些 安全 解决 方案 的 帮助 ， 以 便于 在 发 生 安全 事件 的 时 
候 及 时 提醒 系统 和 网 络 省 理 员 。 安 全 事件 的 检测 识别 速度 可 能 是 事件 处 
理 成 败 的 决定 性 因素 。 








14.3.3 ”抑制 








- 旦 检测 到 安全 事件 发 生 ， 那 么 工作 重点 就 会 转移 到 抑制 上 。 抑 制 
可 以 减少 事件 可 能 造成 的 损害 。 在 这 里 ， 预 防 性 的 安全 解决 方案 和 技术 





通常 会 用 于 阻止 攻击 。 例 如 ， 如 有 果 是 病毒 攻击 ， 则 使 用 防 病毒 系统 进行 
扫描 并 从 受 感染 计算 机 中 删除 病毒 。 如 果 安 全 事件 涉及 恶意 流量 ， 则 使 
用 防火 墙 来 阻止 来 自 恶 意 源 的 流量 进入 网 络 。 因 此 ， 此 时 采取 措施 的 目 
的 是 在 攻击 变 得 严重 之 前 将 其 消除 。 








14.3.4 恢复 与 分 析 





一 旦 事件 被 抑制 了 ， 接 下 来 注意 力 束 应 该 转移 到 恢复 受 影响 的 系统 
上 ， 然 后 分 析 此 次 安全 事件 。 取 决 于 企业 上 自身 的 实际 情况 或 者 事件 的 性 
质 ， 恢 复 或 者 分 析 这 两 个 活动 的 实施 并 没有 严格 的 先后 顺序 。 恢 复 可 以 
确保 受到 攻击 的 系统 恢复 到 攻击 前 的 状态 。 分 析 则 是 一 项 更 加 全 面 的 活 
动 ， 旨 在 确定 事件 发 生 的 原因 、 是 人 否 得 到 正确 的 处 理 以 及 是 人 否 仍然 可 能 
再 次 发 生 。 











14.4 ”小结 


本 章 研 究 了 企业 中 非常 重要 的 3 个 流程 : 审计 、 风 险 管 理 和 事件 处 
理 。 本 章 首 先 介绍 了 IT 审计 过 程 。 我 们 对 它 的 含义 进行 了 深入 的 解释 ， 
还 总 结 了 在 企业 中 执行 审计 的 好 处 。 不 过 ， 尽 管 审计 受到 高 度 重 视 ， 但 
也 必须 注意 ， 它 仍然 有 一 些 局 限 性 ， 审 计 不 能 涵盖 企业 中 的 所 有 潜在 漏 
洞 。 然 后 ， 本 章 介 绍 了 风险 管理 ， 讨 论 了 风险 管理 过 程 的 5 个 步 又， 这 
包括 识别 、 分 析 、 评 估 、 绥 解 和 监控 。 除 此 之 外 ， 本 章 还 简要 介绍 了 企 
业 在 处 理 IT 风险 时 可 以 采取 的 方法 。 最 后 ， 本 章 介绍 了 事件 处 理 ， 以 及 
相关 的 步骤 : 准备、 识别、 抑制、 恢复 与 分 析 。 





第 15 章 我 们 将 探讨 加 密 及 其 不 同 的 类 型 、 不 同 的 加 密 算 法 以 及 密码 


DM» 
Fo 


第 15 草 ”用 于 保护 数据 和 服务 的 加 密 与 密 
但 学 技术 


加 密 已 成 为 一 种 受 欢 迎 的 安全 解决 方案 ， 用 于 保护 企业 和 个 人 的 数 
据 与 通信 安全 ， 加 密 被 视 为 保护 数据 免 受 当今 存在 的 威胁 的 最 值得 信赖 
的 方法 。 密 码 学 是 使 用 了 加 密 和 解密 的 实践 ， 它 通 第 是 企业 采用 的 最 后 
一 层 安全 措施 ， 以 防 黑 客 能 够 突破 其 他 安全 层 的 防护 。 加 密 是 将 数据 从 
明文 转换 为 密 文 的 过 程 ， 用 于 增加 通信 中 的 可 徘 性 和 不 可 否认 性 。 


本 章 将 介绍 早期 的 加 密 方式 及 其 发 展 情况 ， 包 括 各 种 技术 和 面临 的 
挑战 。 价 而 言 之 ， 本 章 将 讨论 以 下 主题 : 





。 早期 加 密 方 式 ; 

。 现代 加 密 方 式 ; 

。 用 密码 学 保护 数据 和 服务 ; 
。 加 密 算 法 示例 ; 

。 加 密 面 临 的 挑战 。 


15.1 ”加密 
加 密 可 以 被 简单 地 定义 为 将 明文 数据 转换 为 密 文 的 方法 。 具 有 解密 


密 钥 的 实体 可 以 将 密 文 转换 回 明文 。 加 密 并 不 是 一 项 新 技术 ， 它 有 关 您 
久 的 历史 。 数 个 世纪 以 来 ， 





人 们 一 直 使 用 加 宅 技 术 来 保护 敏感 信息 ， 例 如 商业 机 密 和 领导 人 之 
间 的 通信 。 但 是 ， 中 世纪 的 加 密 技 术 相 当 简 单 ， 采 用 了 诸如 字符 代 换 或 
丛 换 的 方法 ， 很 容易 破解 。 随 着 技术 的 进步 ， 加 密 变 得 更 加 上 自动化， 并 
且 利 用 机 器 可 以 比 人 类 更 有 效率 地 对 消 奶 进行 加 密 和 解密 。 





早期 加 密 方式 


公元 前 700 年 ， 斯 巴 达 人 在 战斗 中 对 信息 进行 加 密 发 送 ， 以 避免 政 
人 发 现 他 们 的 战争 集 略 和 其 他 敏感 信息 。 他 们 使 用 了 一 个 简单 的 技巧 实 
现 消 息 的 加 密 ， 所 有 的 寄 件 人 和 收 件 人 部 有 相等 大 小 的 木 棒 ， 消 奶 会 被 
写 在 布 或 多 上 ， 并 以 某 种 方式 缠 纪 在 木 棒 上 ， 当 从 木 棒 上 松 开 的 时 候 ， 
这 条 消 轧 是 不 可 读 的 。 如 宋 送 信 的 人 在 送信 时 被 敌人 俘虏 ， 政 人 并 不 能 
知道 里 面 号 了 什么 。 然 而 ， 当 信和 到 达 拿 着 木 棒 的 收 件 人 手中 时 ， 他 会 以 
同样 的 方式 将 布 或 皮革 郑 在 木 棒 上 ， 然 后 阅读 消息 。 这 样 做 的 风险 在 
于 ， 如 果 政 人 获得 了 其 中 的 一 根木 裕 ， 他 们 将 能 够 读 取消 奶 或 友 送 虚假 
消息 来 扰乱 斯 巴 达 人 。 





在 15 世 纪 ， 随 着 自动 化 的 引入 ， 加 密 技术 变 得 更 加 先进 。 羔 吊 : 阿 
尔 但 带 发 明了 一 种 丛 换 式 密码 工具 ， 它 使 用 了 两 个 金属 磁盘 ， 磁 盘 上 具 
有 顺序 混乱 的 字母 ， 并 且 可 以 以 不 同 的 方式 旋转 来 确定 哪个 字母 可 以 符 
换 男 一 个 字母 。 这 是 一 种 更 安全 的 加 秘方 法 ， 发 送 方 和 接收 方 只 需要 知 
道 通过 金属 磁盘 得 到 密 文 的 旋转 方式 。 这 种 技术 的 唯一 风险 是 ， 由 于 只 
有 两 个 磁盘 需要 匹配 ， 亚 意 的 第 三 方 可 能 会 猜 调 出 字母 组 合 。 托 马 斯 : 
杰 裴 逊 对 此 进行 了 改进 ， 制 作 了 杰 裴 逊 磁 盘 。 该 加 密 工 具 使 用 了 一 组 磁 











盘 ， 上 面 的 字母 和 数字 以 茶 种 随机 形式 书写 。 磁 盘 可 以 在 其 轴 上 补 旋 转 
到 发 送 者 所 希望 的 顺序 。 该 工具 有 36 个 磁盘 ， 有 多 种 可 能 的 组 合 ， 这 使 
得 它 在 当时 成 为 一 种 坚不可摧 的 加 密 机 制 。 图 15-1 所 示 是 一 个 具有 36 个 
磁盘 的 杰 弗 逊 磁盘 的 例子 。 








图 15-1 


在 19 世 纪 ， 为 了 应 对 在 欧洲 可 能 将 发 生 的 大 规模 战争 ， 杰 弗 逊 磁盘 
得 到 了 改进 。 这 种 改进 后 的 加 蜜 工具 被 称 为 Bazeries Cylinder， 在 当时 被 
美国 军 方 使 用 。 随 着 第 二 次 世界 大 战 的 到 来 ， 德 国人 发 明了 他 们 自己 的 
加 密 机 一 一 Enigma。 在 当时 ， 它 是 机 械 化 程度 最 高 的 加 密 系 统 ， 它 具有 
键盘 和 内 置 的 加 扰 机 制 。 当 在 键盘 上 按 下 一 个 键 时 ，Enigma 就 会 显示 [区 
配 的 密 文 。 它 的 自动 化 提升 了 加 密 信 息 的 创建 、 发 送 和 响应 的 速度 。 在 
战争 环境 中 ， 速 度 至 关 重 要 。 然 而 ， 尽 管 一 直 被 认为 是 坚不可摧 的 机 
器 ，Enigma 还 是 被 波兰 数学 家 马里 安 雷 耶 夫 斯 基 在 同事 耶 日 - 鲁 日 次 基 
和 部 里 克 : 佐 加 尔 斯 基 的 帮助 下 破解 了 。 这 些 只 是 过 去 几 生 年 里 使 用 的 




















加 密 技术 中 的 一 部 分 ， 然 而 ， 长 期 的 发 展 表 明 加 密 已 经 被 广泛 使 用 很 长 
的 时 间 了 。 


15.2 ”现代 加 密 方式 


计算 机 的 发 明 带 动 了 加 密 技 术 的 飞跃 。 第 一 种 最 先进 的 加 密 方 法 是 
1979 年 发 明 的 数据 加 密 标准 (Data Encryption Standard，DES) ， 这 
种 加 密 算 法 被 誉 为 牢 不 可 破 的 56 位 加 密 ， 即 使 是 当时 最 强大 的 超级 计算 
机 也 无 法 通过 蛮 力 破解 。 据 DES 的 发 明 者 估计 ， 计 算 机 破解 使 用 DES 制 
作 的 密 文 至 少 需 要 20 年 时 间 。 然 而 ， 随 着 计算 机 拉 术 的 进步 ， 尤 其 是 处 
理 能 力 的 提高 ，DES 在 短 时 间 内 被 破解 了 两 次 。 在 1998 年 和 1999 年 ， 
DES 分 别 在 56 小 时 和 22 小 时 内 被 破解 ， 而 非 之 前 估计 的 20 年 。 从 那 时 
起 ，DES 有 必要 被 苦 换 ， 在 公众 受 邀 参加 构建 安全 加 密 算 法 的 竞赛 之 
后 ， 高 级 加 密 标 准 (Advanced Encryption Standard, AES) 应 运 而 生 。 
在 1998 年 左右 ，15 个 提案 被 提交 给 NIST， 其 中 来 自 比 利 时 的 Rijndael 由 
于 其 安全 性 、 性 能 、 效 率 、 可 实施 性 和 灵活 性 而 在 2001 年 被 选 为 AES 。 


15.2.1 对称 加 密 


对 称 加 和 密 的 特点 是 在 加 密 和 解密 消息 时 使 用 相同 的 密 钥 。 过 去 使 用 
的 大 多 数 加 密 方法 都 是 对 称 加 密 ， 它 的 简单 性 使 其 成 为 加 密 史 上 最 常见 
的 技术 。 常 见 的 对 称 加 密 算法 包括 DES、AES、RC4、RC5 和 RC6。 这 
种 类 型 的 加 密 有 以 下 优点 。 


法 ， 


速度 快 。 由 于 加 密 和 解密 使 用 相同 的 密 钥 ， 对 称 加 密 计算 需要 的 资 
源 比 非 对 称 加 密 更 少 ， 因 此 速度 更 快 。 

何 单 。 这 种 加 密 方 法 很 容易 使 用 ， 因 为 及 送 方 和 接收 方 只 需要 有 一 
个 安全 的 密 钥 即 可 。 这 与 非 对 称 加 密 不 同 ， 不 需要 进行 复杂 的 数学 
计算 来 获得 密 钥 。 








然而 ， 对 称 加 蜜 也 存在 以 下 缺点 ， 导 致 研究 者 提出 了 妃 一 种 加 复方 
专门 用 于 不 安全 的 环境 。 








交换 密 钥 的 通道 必须 安全 。 对 称 密 钥 加 密 的 最 大 问题 是 ， 它 需要 
确保 密 钥 通过 安全 的 方式 进行 共享 。 加 密 密 钥 不 像 密码 那样 是 一 串 
简单 的 文本 ， 而 是 一 堆 乱 码 。 因 此 ， 密 钥 需要 通过 一 种 安全 的 机 制 
传输 到 密 钥 接收 方 ， 否 则 黑客 可 以 截获 密 钥 ， 从 而 轻易 破解 密 文 。 
多 个 密 钥 。 出 于 安全 考虑 ， 发 件 人 将 对 不 同 的 收 件 人 使 用 不 同 的 密 
钥 。 因 此 ， 他 们 将 不 得 不 保存 许多 密 钥 记录 。 为 一 端的 收 件 人 也 需 
要 记录 他 们 从 不 同 发 件 人 那里 收 到 的 消 轧 所 使 用 的 密 钥 。 而 密 钥 越 
多 ， 越 容易 引起 信息 泄露 。 

消 妃 的 真实 性 得 不 到 保证 。 对 称 加 密 没 有 任何 措施 来 保证 发 送 方 
的 真实 性 。 由 于 对 称 加 密 中 没有 身份 认证 系统 ， 接 收 者 永远 不 知道 
他 们 接收 的 消 奶 是 来 自 可 信和 的 发 送 者 还 古来 自 试 图 造成 干扰 的 人 。 














15.2.2” 非 对 称 加 密 


非 对 称 加 密 也 称 为 公 钥 加 密 。 公 钥 加 密使 用 了 两 个 较 长 的 密 钥 。 第 


一 个 密 钥 是 可 以 被 公开 的 非 秘 密 的 公 钥 ， 发 送 者 使 用 此 密 钥 加 密 消 妃 。 


A — 


Aa 


个 密 钥 是 收 件 人 用 来 解密 消息 的 私 钥 。 公 钥 与 私 钥 在 算术 上 相关 ， 


不 过 ， 要 从 公 钥 派生 出 私 钥 是 极其 困难 的 ， 这 使 非 对 称 加 密 变 得 安全 ， 


即使 公 钥 是 公开 的 。 非 对 称 加 密 发 明 于 1975 年 ， 当 时 对 称 加 密 正 受到 共 
译 多 个 密 钥 的 挑战 。 图 15-2 所 示 是 一 个 非 对 称 加 密 的 例子 。 











Bob 使 用 Alice 的 公 钥 加 密 消息 


Alice 使 用 私 钥 解密 消息 





图 15-2 


Bob 〈 鲍 勃 ) 通过 站 到 端 加 密 平台 向 Alice( 艾 丽 斯 发 送 一 条 消 
恩 。 当 Bob 编 写 明文 消 奶 时 ， 他 使 用 Alice 的 公 钥 对 其 进行 加 窗 ， 然 后 将 
消 妃 发 送 到 服务 器 。 服 务 器 只 是 将 消息 转发 给 Alice， 它 无 法 读 取 或 修改 
消息 。Alice 接 收 消 轧 并 使 用 她 的 私 钥 将 消 轧 转换 为 明文 。 


以 下 是 非 对 称 加 密 的 一 些 优点 。 


。 局 度 方便 。 非 对 称 加 密 很 好 地 解决 了 安全 分 发 密 钥 的 问题 。 公 钥 是 
公开 的 ， 可 以 被 随意 访问 而 不 会 对 私 钥 产生 任何 影响 ， 而 私 钥 是 用 
于 解密 消 轧 的 秘密 密 钥 。 

。 消息 身份 验证 。 签 名 使 用 了 非 对 称 加 密 的 特性 ， 签 名 可 以 让 收 件 人 
验证 消 妃 是 否 确实 来 自 特 定 的 发 送 方 。 因 此 ， 即 使 妨 一 方 用 公开 的 
蜜 钥 同 接收 方 发 送 消息 ， 接 收 方 也 会 知道 该 消 恳 不 是 来 目 预 期 的 发 











送 方 。 

可 以 检测 复 改 。 在 对 密 文 进行 了 未 经 授权 的 修改 之 后 ， 签 名 将 会 失 
效 。 由 于 安全 签名 的 这 个 特性 ， 在 原 用 送 方 发 送 消息 后 ， 接 收 方 可 
DASE RA HB AE YE Se BLL I o 

不 可 否认 性 。 签 名 的 使 用 确保 了 双方 都 不 能 否认 他 们 在 通信 中 的 角 
色 。 





非 对 称 加 罕有 具有 以 下 缺点 。 


公 钥 的 号 份 验证 。 由 于 公 钥 在 公共 域 中 ， 因 此 发 送 方 必须 在 使 用 它 
加 密 消息 之 前 确保 特定 的 私 钥 为 特定 的 接收 方 所 拥有 。 对 称 加 密 用 
户 则 不 必 执 行 此 操作 。 

速度 慢 。 由 于 非 对 称 加 密 涉 及 的 步骤 多 、 密 钥 长 ， 因 此 速度 很 慢 ， 
尤其 是 在 解密 消 恩 时 。 

计算 机 资源 的 使 用 京 高 。 加 解密 过 程 中 发 生 的 操作 复杂 ， 再 加 上 公 
钥 加 密 所 特有 的 长 密 钥 ， 导 致 计算 机 资源 的 使 用 率 很 高 。 

私 钥 丢失 。 只 有 收 件 人 拥有 私 铀 ， 如 有 果 丢 失 了 该 密 钥 ， 则 无 法 解密 
消息 ， 也 无 法 从 发 送 者 那里 获取 私 钥 。 








15.3 用 密码 学 保护 数据 和 服务 


加 密 可 以 保护 传输 中 的 数据 和 存储 的 数据 。 传 输 中 的 数据 可 能 是 从 
服务 器 到 客户 问 的 数据 ， 也 可 能 是 电子 邮件 发 件 人 发 送 给 收 件 人 的 数 
据 。 有 一 种 被 称 为 中 间 人 攻击 的 攻击 方式 ， 第 三 方 通过 该 攻击 拦截 传输 
中 的 数据 ， 在 数据 被 发 送 到 接收 方 的 过 程 中 对 其 进行 读 取 、 自 改 或 丢 
弃 。 加 密 可 以 防止 传输 过 程 中 未 经 授权 的 一 方 截取 、 读 取 或 修改 数据 。 
存储 中 的 数据 是 指 存储 在 硬盘 驱动 器 、 数 据 库 、 外 部 存储 设备 或 用 于 存 








储 数 据 的 任何 其 他 容 絮 中 的 数据 。 加 密 可 以 防止 攻击 者 访问 或 修改 存储 
中 的 数据 。 


15.3.1 存储 中 的 数据 


大 量 的 数据 存储 在 存储 器 中 ， 企 业 会 根据 业务 上 对 数据 的 需求 保留 
大 量 的 数据 。 随 着 大 数据 的 普 衣 使用， 企业 开始 存储 那些 在 早期 被 认为 
是 低 优先 级 的 数据 。 这 些 曾经 未 被 使 用 的 数据 最 终 用 于 帮助 企业 研究 某 
些 趋势 和 模式 。 企 业 还 保留 了 有 关 其 客户 的 更 多 详细 数据 ， 除 了 客户 的 
个 人 信息 外 ， 企 业 还 使 用 Cookies 来 了 解 客户 的 在 线 行 为 或 活动 。 物 联 
网 在 业务 流程 中 的 引入 《例如 制造 业 ) 也 导致 了 数据 存储 的 增加 。 随 痢 
时 间 的 推移 ， 企 业 将 存储 更 多 的 数据 。 与 此 同时 ， 黑 客 也 越 来 越 多 地 针 
对 企业 的 数据 发 动 攻击 。 这 些 数据 在 暗 网 中 要 价 很 高 ， 企 业 的 一 些 竞争 
对 手 向 黑客 付费 以 获取 这 些 数据 。 网 络 犯罪 分 子 正 在 从 便携 式 计算 设备 
和 可 移动 存储 介质 中 窃取 数据 ， 并 答 试 从 中 恢复 敏感 信息 。 因 此 ， 存 储 
中 的 数据 也 一 直面 临 着 被 急 取 的 威胁 。 与 之 相关 的 案例 是 针对 雅虎 
(Yahoo) WRAK. WARI JILLA RKAS. 

















加 密 可 以 帮助 保护 存储 中 的 数据 ， 即 使 这 些 数据 被 盗 ， 对 网 络 非 犯 
来 说 也 坚 无 用 处 。 以 下 是 实现 此 目的 的 方法 。 





15.3.1.1 ZADE 





这 是 保护 存储 在 计算 机 上 的 数据 的 最 终 方 法 ， 它 对 整个 硬盘 进行 加 
密 。 全 盘 加 密 是 在 硬件 级 别 进行 的 ， 除 拥有 密 钥 的 人 之 外 ， 其 他 所 有 人 





都 无 法 访问 硬盘 中 的 内 容 。 因 此 ， 上 共有 全 盘 加 密 功 能 的 计算 机 的 用 户 通 
常 必 须 先 提供 用 于 解密 的 密 钥 ， 然 后 计算 机 才能 局 动 以 进入 操作 系统 。 
当 人 硬盘 被 加 密 后 ， 数 据 将 以 不 可 读 的 形式 存储 ， 只 有 提供 了 正确 的 密 

钥 ， 才 能 将 数据 恢复 为 可 读 形式 。 这 种 方法 的 优点 在 于 简单 ， 对 最 终 用 
户 没有 其 他 的 要 求 。 除 非 对 其 进行 读 取 或 修改 ， 人 否则 全 盘 加 蜜 程 序 将 保 
持 数 据 的 加 密 状 态 ， 新 写 入 的 数据 也 将 被 自动 加 密 。 这 种 方法 的 主要 缺 
扩 是 ， 由 于 必须 在 后 台 进 行 加 密 和 解密 过 程 ， 因 此 对 数据 的 访问 速度 会 
被 减 慢 。 不 过 ， 它 仍 是 针对 工作 环境 中 便携 式 计 算 设备 数据 进行 加 密 的 
一 种 较为 理想 的 方法 。 











15.3.1.2 ”文件 加 密 


这 是 一 种 针对 文件 的 加 密 方法 。 用 户 有 时 也 许 只 希望 加 密 硬盘 中 的 
部 分 数据 ， 例 如 唯一 需要 额外 安全 保护 以 防止 未 经 授权 的 一 方 访问 的 敏 
感 数据 。 文 件 加 密 不 具有 全 盘 加 密 的 自动 化 的 优点 ， 用 户 必 须 在 必要 时 
对 特定 文件 内 容 进 行 加 密 或 解密 操作 。 与 全 盘 加 密 相 比 ， 这 种 方法 的 优 
点 是 不 会 降低 计算 机 的 运行 速度 ， 加 密 或 解密 过 程 仅 在 必要 时 或 用 户 司 
动 时 运行 。 这 种 方法 的 缺点 是 ， 过 多 的 加 密 和 解密 过 程 对 用 户 来 说 是 一 
种 负担 。 因 此 ， 在 一 个 拥有 许多 不 懂 技 术 的 用 户 的 企业 中 ， 这 可 能 会 带 
来 一 些 挑战 。 











15.3.2 ”传输 中 的 数据 


数据 经 常 移 动 ， 特 别 是 在 企业 中 。 传 输 的 电子 邮件 中 包含 敏感 信 








As 大 文件 通常 在 员工 、 部 门 或 企业 分 支 机 构 之 间 共 享 ;，Web 服 务 右 不 
汤 地 从 客户 端 发 送 和 接收 数据 。 因 此 ， 数 据 传输 在 大 量 地 发 生 。 与 存储 
的 数据 不 同 ， 传 输 中 的 数据 更 容易 暴露 ， 黑 客 可 以 在 传输 过 程 中 截获 这 
些 数据 ， 这 是 因为 传输 所 使 用 的 技术 是 为 实用 性 而 设计 的 ， 而 安全 性 并 
不 是 其 优先 考虑 的 问题 。 例 如 ， 使 用 包 捕 获 工 具 (如 Wireshark〉 可 以 很 
容易 地 捕获 进出 网 络 的 数据 。 该 工具 可 以 免费 下 载 和 使 用 ， 任 何人 都 可 
以 在 有 线 和 无 线 网 络 中 使 用 它 。 因 此 ， 传 输 中 的 数据 必须 得 到 保护 ， 以 
防止 未 经 授权 的 一 方 读 取 、 修 改 或 丢弃 数据 。 以 下 是 一 些 可 用 于 保护 传 
输 中 的 数据 的 加 复方 法 。 








15.3.2.1 ğa Bl) ve h 











这 也 许 是 保护 通信 通道 的 最 安全 的 方法 ， 它 使 得 监视 网 络 的 一 方 无 
法 看 到 通过 网 络 友 送 的 消息 的 原始 内 容 ， 由 此 来 对 抗 网 络 嗅 探 的 威胁 。 
因此 ， 只 有 消息 的 发 送 方 和 接收 方 能 够 谈 取 消息 的 明文 。 它 的 工作 原理 
是 ， 当 发 送 方 从 应 用 程序 发 送 消息 时 ， 首 先 对 消息 进行 加 密 ， 然 后 通过 
网 络 上 友 送 。 在 加 密 形 式 下 ， 所 有 没有 密 钥 的 人 都 无 法 读 取消 息 的 内 容 。 
当 消 息 到 达 目 的 地 时 ， 接 收 者 的 应 用 程序 将 解密 消息 并 以 明文 显示 。 在 
数据 传输 过 程 中 ， 没 有 人 可 以 阅读 或 修改 消息 ， 包 括 互 联网 服务 提供 
商 、 政 府 、 黑 客 ， 甚 至 是 应 用 程序 的 制造 商 。 一 些 聊 天 平台 ， 例 如 
Telegram 和 WhatsApp， 提 供 问 到 端 加 密 以 确保 其 用 户 不 被 监听 。 

















端 到 端 加 密 的 优点 有 很 多 。 首 先 ， 它 可 以 保护 数据 不 受 黑 客 攻 击 。 
发 送 者 和 接收 者 甚至 可 以 在 不 安全 的 网 络 中 交换 消息 ， 因 为 端 到 端 加 宅 
可 以 确保 任何 其 他 方 部 无 法 读 取 该 消息 。 其 次 ， 端 到 端 加 密 还 可 以 确 


保 数据 的 保密 性 。 政 府 、ISP 等 都 无 法 读 取 发 送 的 消息 内 容 。 在 某 些 通 
信 平 台 〔 例 如 Gmail》 上 缺 乏 端 到 端 加 密 ， 这 表明 该 公司 可 以 看 到 其 用 
户 发 送 的 消 妃 内 容 。 这 种 加 密 的 缺点 是 ， 它 也 可 以 被 用 于 负面 目的 ， 例 
DUTT VOU FE AH ek Hi ae ot AAS © STL ACEI, BRI ACHAT 
方 之 外 ， 没 有 人 知道 通信 双方 正在 讨论 的 内 容 。 





15.3.2.2 ”加密 Web 通 信 (SSL 和 TLS) 


HTTP 需要 受到 安全 措施 保护 。 数 据 流 在 从 客户 端 到 服务 器 端的 传 
输 过 程 中 面临 着 安全 威胁 。 本 质 上 ， 数 据 包 是 以 明文 发 送 的 ， 因 此 ， 潜 
伏 在 网 络 中 的 攻击 者 可 以 读 取 客 尸 喘 和 服务 器 之 间 交 换 的 所 有 数据 。 例 
如 ， 如 果 客 户 访问 了 一 个 没有 加 密 的 网 上 银行 ， 他 的 登录 凭据 可 能 会 被 
监视 该 网 络 的 攻击 者 鳃 取 。 对 黑客 来 说 ， 捕 获 并 记录 网 络 中 交换 的 所 有 
数据 包 是 非 第 容易 的 。 因 此 ， 通 常会 使 用 TLS 或 5L 保 护 Web 连 接 。 用 
户 可 以 通过 标准 化 的 方法 获得 SSL 或 TLS 证 书 ， 以 确保 与 某 个 网 站 的 连 
接 是 加 密 的 。 这 使 得 用 户 可 以 轻松 地 获取 和 传送 敏感 信息 ， 而 不 会 面临 
被 第 三 方 贸 取 的 风险 。 














15.3.2.3 ”加 密 邮件 服务 器 


电子 邮件 加 密 正在 成 为 一 种 发 送 电 子 邮件 的 安全 措施 ， 以 确保 只 有 
目标 收 件 人 才能 阅读 电子 邮件 的 内 容 。 以 前 ， 几 乎 所 有 的 电子 邮件 都 是 
以 明文 形式 发 送 的 ， 这 使 它们 面临 被 非 预期 收 件 人 访问 或 阅读 的 风险 。 
在 加 密 的 电子 邮件 中 ， 发 送 人 使 用 收 件 人 的 公 钥 加 密 电 子 邮件 ， 只 有 收 
件 人 拥有 可 以 解密 电子 邮件 的 私 钥 。 


15.4 加 密 算 法 示例 
可 用 的 加 密 算法 有 很 多 ， 以 下 是 一 些 常用 的 加 密 算 法 示例 。 
15.4.1 高 级 加 密 标准 (AES) 


这 是 美国 联邦 政府 所 采用 的 一 种 加 密 标 准 ， 是 一 种 对 称 加 密 算 法 。 
在 资源 消耗 方面 ， 高 级 加 密 标准 CAES) 非常 高 效 。AES 的 密 钥 长 度 有 
128 位 、192 位 以 及 256 位 。 尚 未 有 任何 关于 其 弱点 的 报告 ， 因 此 安全 专 
家 相信 和 它 将 在 很 长 一 段 时 间 内 保持 强大 。 该 算法 面临 的 唯一 威胁 是 亚 力 
攻击 ， 但 幸运 的 是 ， 目 前 超级 计算 机 破解 128 位 密 钥 还 需要 非常 多 的 时 
间 。 








15.4.2 3DES 


DES 已 被 宣称 为 是 一 种 不 安全 的 算法 ，3DES (Triple DES) 是 对 
DES 算 法 的 改进 和 替代 。3DES 引 入 了 3 个 56 位 密 铀 ， 因 此 ， 整 个 密 钥 大 
小 是 168 位 ， 不 过 专家 们 认为 实际 密 钥 大 小 是 112 位 。DES 是 一 种 对 称 加 
密 算 法 ， 可 用 于 银行 等 机 构 中 。 除 了 蛮 力 攻击 之 外 ， 和 暂时 没有 其 他 已 知 
的 攻击 可 以 破坏 该 算法 。 据 估计 ， 该 算法 的 蛮 力 破解 时 间 约 为 260658 
年 


15.4.3 RSA 





这 是 一 种 非 对 称 加 密 算法 ， 已 成 为 加 密 互 联网 流量 的 标准 。PGP 和 
GPG 等 程序 使 用 该 算法 进行 加 密 。 由 于 有 两 个 密 钥 ， 因 此 在 不 安全 的 环 
境 ( 例 如 互联 网 ) 中 使 用 RSA 可 以 获得 更 高 的 安全 性 ， 从 而 消除 在 共享 
数据 的 过 程 中 密 钥 被 盗 取 的 风险 。RSA 曾 经 被 破解 过 一 次 ， 不 过 那 是 针 
对 728 位 密 钥 的 版 本 ， 当 时 使 用 了 1000 个 内 核 的 计算 机 ， 破 解 过 程 耗 时 
两 年 。 而 常用 的 密 钥 长 度 分 别 为 1024 位 和 2048 位 ， 对 1024 位 密 钥 而 言 ， 
其 破解 时 间 预 计 为 7000 年 。 








15.4.4 Blowfish 


该 算法 也 是 为 了 替代 DES 而 创建 的 ， 它 是 对 称 加 密 算 法 ， 且 具有 独 
特 的 加 密 数 据 方式 ， 加 密 数 据 时 首先 将 数据 分 成 每 64 位 一 组 ， 然 后 对 每 
个 组 进行 加 密 。Blowfish 的 使 用 是 免费 的 ， 许 多 电子 商务 网 站 都 采用 了 
该 算法 。 它 通常 被 用 于 在 线 文 付 和 密码 管理 工具 场景 。 由 于 其 复杂 性 ， 
Blowfish 不 易 被 破解 。 








15.5 ”加密 面 临 的 挑战 


加 密 作 为 一 种 安全 手段 ， 已 经 被 黑客 或 好 奇 如 何 破解 不 同 加 蜜 算法 
的 人 以 多 种 方式 进行 了 测试 ， 最 常 面临 的 挑战 如 下 。 





。 蛮 力 攻 击 。 破 解 加 密 最 常用 的 方法 是 蛮 力 攻击 。 蛮 力 攻击 尝试 不 同 
的 密 钥 组 合 ， 直 到 找到 正确 的 密 钥 。 蛮 力 攻击 能 够 破解 大 多 数 加 密 
算法 ， 但 主要 问题 是 破解 过 程 需要 花费 大 量 时 间 ， 如 今 使 用 的 大 多 
数 加 密 算法 需要 数 百 万 年 才能 被 蛮 力 破解 。 密 钼 的 长 度 也 是 破解 密 











钥 所 需 时 间 的 主要 决定 因素 ， 密 钥 越 长 花费 的 时 间 越 多 。 但 是 ， 由 
于 计算 资源 的 限制 ， 密 钥 的 长 度 也 受到 限制 ， 太 长 的 密 钥 需要 花 灾 
大 量 时 间 来 加 密 和 解密 ， 因 此 也 不 实用 。 

密码 分 析 。 这 是 在 加 密 算 法 中 发 现 弱 点 的 过 程 ， 与 使 用 人 蛋 力 攻击 相 
比 ， 这 种 方式 使 破解 变 得 更 容易 。 如 果 算 法 存在 某 种 缺 隐 ， 攻 击 者 
可 以 轻易 确定 其 中 的 某 些 元 素 ， 那 么 破解 过 程 将 变 得 更 加 轻松 ， 且 
无 须 尝试 所 有 可 能 的 组 合 。 问 题 在 于 ， 一 些 加 密 标 准 被 认为 已 被 某 
些 实体 为 了 自己 的 利益 而 削弱 。 爱 德 华 :斯 语 登 (Edward 
Snowden) 表示 ， 美 国 国家 安全 局 NSA) 削弱 了 多 种 加 密 标准 。 
这 使 他 们 在 破译 密码 时 处 于 优势 。 据 说 NSA 还 参与 了 削弱 DES 算 
法 ， 导 致 该 算法 被 宣布 为 不 安全 。 

计算 能 力 的 增强 。 大 多 数 正在 使 用 的 加 密 标 准 被 认为 是 安全 的 ， 这 
是 因为 当前 可 用 的 计算 能 力 无 法 成 功 人 破解 它们 。 然 而 ， 计 算 能 力 一 
直 在 增强 ， 量 子 计 算 已 经 取得 了 重大 进展 ， 这 项 技术 可 能 会 给 当前 
的 加 和 密 算 法 带 来 巨大 冲击 。 由 于 量子 计算 机 具有 强大 的 计算 能 
利用 它们 进行 密码 分 析 或 蛋 力 攻击 可 以 让 破解 密码 所 需 的 时 间 大 大 
缩短 。 




















15.6 小结 


本 章 探 讨 了 加 密 ， 它 是 一 种 保护 数据 和 通信 安全 的 方法 ， 介 绍 了 早 


期 的 加 密 方 式 以 及 如 何 将 自动 化 应 用 于 加 密 从 而 使 其 更 加 安全 可 靠 。 本 





章 还 探讨 了 不 同类 型 的 加 密 方式 ， 例 如 加 密 存 储 中 的 数据 和 传输 中 的 数 


据 ， 


以 及 加 密 Web 连 接 和 邮件 服务 器 。 除 此 之 外 ， 本 章 还 对 常用 的 加 密 


算法 进行 了 介绍 ， 并 在 可 能 的 情况 下 强调 了 破解 这 些 算法 所 需 的 时 间 。 
最 后 ， 我 们 讨论 了 加 密 作 为 一 种 安全 措施 所 面临 的 挑 成 ， 这 包括 覃 力 攻 
、 和 密码 分 析 和 计算 能 力 增强 市 来 的 威胁 。 


第 16 章 将 探讨 区 英 链 在 金融 和 技术 上 的 飞跃 ， 讨 论 区 块 链 技术 、 加 
密 货 币 以 及 目前 在 采用 区 块 链 的 过 程 中 面临 的 挑战 。 


第 16 间 ”区 块 链 的 兴起 


区 块 链 被 认为 是 一 个 巨大 的 技术 飞跃 ， 它 可 以 被 应 用 于 许多 领域 。 
由 于 在 推动 数字 货币 方面 起 到 的 作用 ， 区 块 链 被 视 为 金融 科技 的 一 大 进 
步 。 然 而 ， 尽 管 许多 人 从 加 密 货 币 的 角度 看 待 它 ， 但 是 这 项 技术 绝 不 仅 
仅 是 一 个 简单 的 金融 解决 方案 。 区 块 链 技术 已 经 并 将 继续 给 全 球 经 济 种 
来 重大 变化 。 自 2008 年 区 块 链 驱动 的 数字 货币 一 一 比特 币 问世 以 来 ， 各 
方 反 应 不 一 。 人 个人、 企业 和 政府 一 直 在 关注 这 项 技术 的 潜在 影响 。 守 无 
疑问 ， 区 块 链 将 会 在 一 些 行业 造成 颠 履 性 的 影响 ， 因 此 人 们 对 筷 议 论 纷 
纷 。 令 人 感 兴 趣 的 是 ， 这 项 技术 将 如 何 影 响 金融 服务 行业 。 本 章 将 通过 
以 下 主题 来 探讨 这 个 问题 。 














© 区 块 链 技术 简介 。 
。 NEEM o 
加密 货 币 钱包 。 
o 加 密 贷 币 面临 的 挑战 。 
。 区 块 链 技术 的 挑战 和 未 来 。 


16.1 区 块 链 技 术 简 介 


区 块 链 技术 的 核心 概念 是 拥有 安全 且 难 以 操纵 的 数据 块 。 区 块 链 是 
一 种 数字 账本 ， 充 当 分 布 式 数据 库 ， 用 于 记录 网 络 中 所 有 交易 的 信息 。 
一 个 区 块 可 以 描述 为 数字 账本 中 的 一 个 单 页 ， 记 录 了 网 络 上 的 实际 区 








易 ， 例 如 汇 球 和 收 蒜 。 区 块 将 作为 整体 进行 处 理 ， 





并 使 用 密码 签名 进行 保护 。 所 有 的 处 理 都 是 通过 分 布 式 的 方式 进行 
的 ， 由 矿工 和 负责 事务 处 理 的 主 节点 组 成 的 网 络 完 成 。 数 字 账 本 是 分 布 
式 的 ， 这 意味 着 它 不 是 集中 存储 的 ， 而 是 路 多 个 设备 存储 的 ， 这 使 任何 
一 方 都 很 难 单 方面 地 复 改 它 。 因 为 有 许多 副本 存储 在 全 球 不 同 的 设备 
中 ， 所 以 对 黑客 来 说 ， 想 要 操纵 整个 区 块 链 ， 需 要 破坏 区 块 链 及 其 所 有 
具有 副本 的 设备 ， 这 几乎 是 不 可 能 实现 的 。 分 布 式 数据 库 是 公开 的 ， 因 
此 它 是 透明 的 ， 任 何人 都 可 以 下 载 。 区 块 链 保持 持续 同步 ， 因 此 永远 不 
会 出 现 交 易 不 一 致 的 情况 。 因 此 ， 该 技术 是 透明 的 、 可 靠 的 ， 并 且 没 有 
事务 性 错误 。 














16.1.1 区 块 链 中 的 共识 机 制 





被 添加 到 区 英 链 的 信息 必须 经 过 校 验 ， 严 格 的 校 验 措 施 可 以 保证 区 
块 链 中 没有 错误 。 如 果 不 这 样 做 ， 可 能 会 将 市 有 克 余 或 无 效 数据 的 区 块 
添加 到 区 块 链 中 。 因 此 ， 对 于 如 何 完 成 校 验 存在 某 种 形式 的 共识 。 不 同 
的 加 密 资 产 使 用 不 同 的 共识 机 制 ， 最 常用 的 是 工作 量 证 明和 权益 证 明 ， 
这 些 是 应 被 加 以 讨论 的 共识 机 制 。 不 过 ， 值 得 注意 的 是 ， 还 有 一 些 其 他 
的 机 制 ， 如 股份 授权 证 明 机 制 ， 在 茶 些 区 块 链 中 已经 有 相当 多 的 应 用 。 











16.1.1.1 ”工作 量 证 明 


工作 量 证 明 的 概念 最 早出 现在 20 世 纪 90 年 代 。2008 年 ， 当 中 本 聪 
(Satoshi Nakamoto) 撰写 比特 币 白皮书 时 ， 他 提议 使 用 工作 量 证 明 共 








识 机 制 来 保护 网 络 免 受 实体 获得 多 数控 制 权 所 布 来 的 威胁 。 工 作 量 证 明 
通过 挖 矿 实现 ， 在 区 块 链 上 局 动 的 事务 被 打包 并 存储 在 内 存 池 中 ， 然 后 
矿工 验证 这 些 事务 。 这 是 通过 解决 一 个 复 茶 的 数学 难题 来 实现 的 ， 解 决 
这 个 难题 的 过 程 非 党 复杂， 需要 很 强 的 计算 能 力 。 第 一 个 解 开 难题 的 矿 
工会 得 到 奖励 ， 在 比特 币 中 ， 矿 工 得 到 新 的 比特 币 和 交易 费用 。 然 后 ， 
通过 验证 的 内 存 池 被 称 为 一 个 区 块 ， 并 添加 到 区 块 链 中 。 作 为 额外 的 预 
防 措施 ， 在 将 该 区 块 加 入 区 块 链 之 前 ， 需 要 其 他 矿工 同意 给 定 的 解决 方 
案 。 为 了 操纵 区 块 链 (例如 比特 币 〉， 用 户 需 要 对 网 络 中 的 所 有 矿工 拥 
有 人 至 少 51% 的 控制 权 。 这 意味 着 黑客 将 不 得 不 通过 越 来 越 多 的 计算 机 来 
执行 所 谓 的 51% 攻 击 。 为 了 使 这 种 攻击 难以 友 生 ， 研 究 者 采取 了 多 种 措 
施 ， 如 下 所 示 。 























非 对 称 难题 。 解 开 难 题 的 过 程 很 复 洒 ， 而 验证 答案 的 过 程 却 很 容 
易 。 

蛮 力 解决 方案 。 要 想 解决 这 些 难 题 只 能 依靠 覃 力 。 因 此 ， 所 有 夏 工 
都 没有 优势 ， 他 们 必须 以 同样 的 方式 解决 复杂 的 难题 。 为 了 获得 更 
大 的 解 题 优 势 ， 矿 工 必 须 提高 计算 能 力 ， 而 这 是 昂贵 的 。 

解 题 难度 调整 。 区 块 的 生成 时 间 必 须 保 持 一 致 。 例 如 ， 如 果 生 成 时 
间 是 20 分 钟 ， 经 过 一 段 时 间 后 ， 它 减少 到 18 分 钟 ， 网 络 就 会 增加 解 
题 难度 ， 这 将 导致 矿工 不 得 不 进行 更 多 的 计算 来 解决 这 个 难题 。 














16.1.1.2 权益 证 明 


工作 量 证 明 是 一 种 昂贵 的 共识 机 制 。 由 于 难题 的 复杂 性 不 断 增 加 ， 
矿工 们 开采 一 个 比特 币 需 要 花费 越 来 越 多 的 资源 。 据 估计 ， 在 几 年 内 ， 
所 使 用 的 资源 将 超过 网 络 给 予 矿 工 的 回报 ， 这 也 是 一 些 加 密 货 币 采 用 权 





葵 证 明 的 原因 。 权 益 证 明 不 会 使 用 数学 难题 来 选择 谁 可 以 在 账本 中 创建 
新 的 区 块 ， 相 反 ， 它 以 概率 但 确定 的 方式 选择 新 区 块 的 创建 者 。 因 此 ， 

所 有 的 创建 者 被 选中 的 机 会 都 是 确定 的 。 然 而 ， 权 荔 证 明 要 求 创建 者 持 
有 一 定数 量 的 货币 ， 当 用 户 存 入 这 些 货币 时 ， 他 们 可 以 创建 一 个 主 节 

扩 。 要 求 存 储 货币 可 以 防止 一 个 人 拥有 太 多 的 主 市 态 ， 避 免 他 们 使 用 这 
些 节 点 来 操纵 区 块 链 。 权 益 证 明 机 制 可 以 消耗 更 少 的 资源 ， 因 为 它 去 挥 
了 挖 矿 过 程 。 此 外 ， 大 多 数 主 布 点 运行 在 虚拟 专用 服务 器 上 。 主 布点 在 
菏 一 特定 时 期 结束 时 获得 奖励 ， 所 有 主 节 点 分 享 收益 。 工 作 量 证 明和 权 
益 证 明之 间 最 大 的 区 别 是 权益 证 明 过 程 中 没有 新 的 货币 被 创造 。 














16.1.2 ”区 块 链 技术 的 应 用 


区 块 链 技术 的 应 用 可 以 大 致 分 为 记录 用 途 、 政 府 用 途 和 金融 用 途 。 
接 下 来 我 们 将 分 别 进行 介绍 。 


16.1.2.1 记录 用 途 





区 块 链 技术 的 特点 是 便于 记录 的 保存 ， 因 此 ， 它 可 以 被 用 于 数字 号 


数字 身份 


区 块 链 技术 中 用 到 了 密码 学 来 保证 系统 的 安全 。 加 密 过 程 中 使 用 的 
私 钥 是 唯一 的 ， 其 所 有 者 也 是 唯一 的 。 网 络 中 包含 大 量 的 账户 ， 不 同 的 
系统 都 面临 着 对 个 体 喘 份 识别 和 认证 的 挑战 。 用 户 需 要 保存 这 些 账 户 的 








用 户 名 和 密码 ， 由 于 账户 数量 庞大 ， 对 这 些 登 录 赁 据 的 保存 让 用 户 面 临 
独 困 扰 。 区 块 链 可 用 于 提供 唯一 的 数字 映 份 。 终 端 用 户 只 需要 一 个 私 

钥 ， 就 可 以 通过 密码 学 实现 对 里 份 认证 系统 的 保护 。 这 将 为 使 用 弱 密 码 
或 共 译 个 人 数据 (这 些 数 据 可 被 利用 来 针对 用 户 〉 的 用 户 提 供 一 种 解决 


方案 。 


16.1.2.2 BEUTH IE 





区 块 链 技术 在 政府 中 有 多 种 用 途 。 首 先 ， 政 府 可 以 使 用 它 来 控制 私 
钥 的 发 行 、 分 配 、 吊 销 和 替换 。 这 种 对 私 钥 的 管控 可 以 与 喘 份 证 一 起 配 
合 使 用 ， 以 确保 所 有 公民 部 有 安全 的 数字 身份 。 这 些 私 钥 可 用 于 许多 政 
府 服 务 ， 例 如 汽车 登记 、 商 业 登 记 和 付款 。 











政府 还 可 以 将 区 块 链 技术 用 于 数据 共享 。 区 块 链 技术 的 一 大 探索 领 
域 是 创建 加 密 数 字 货 币 。 大 多 数 政府 会 和 当地 的 商业 伙伴 合作 ， 例 如 ， 
政府 可 以 依靠 网 络 服务 提供 丙 辣 他 们 提供 涉嫌 进行 恶意 活动 的 客户 的 个 
人 信息 。 然 而 ， 数 据 共 孚 往往 存在 挑战 ， 特 别 是 在 利益 冲突 的 情况 下 ， 
数据 具有 敏感 性 ， 同 时 也 存在 技术 上 的 挑 成 。 不 过 ， 区 块 链 的 分 布 式 账 
本 可 以 用 来 解决 这 些 问 题 ， 并 确保 数据 共 至 的 便捷 性 。 








政府 可 以 使 用 区 块 链 技术 进行 跨 境 车 辆 识别 一 一 车 辆 识别 往往 局 限 
于 国家 或 地 区 内 部 。 汽 车 过 境 通 常会 带 来 安全 方面 的 挑战 ， 尤 其 是 在 欧 
洲 。 可 以 使 用 区 块 链 来 注册 车 辆 的 国际 信息 ， 以 确保 能 在 任意 地 点 识别 
车 辆 和 芍 驶 员 。 














区 块 链 技术 可 以 用 于 分 发 政府 援助 。 在 茶 些 情况 下 ， 需 要 政府 分 发 





援助 给 居住 在 东 些 地 方 的 公民 。 现 金 可 能 是 最 简单 的 分 发 援助 的 方式 ， 





但 由 于 效率 低下 ， 因 此 不 可 能 这 样 做 。 全 民 基 本 收入 保证 等 项 目 己 经 开 
始 使 用 区 块 链 技术 ， 这 些 项 目 为 家 庭 贫 困 的 居民 提供 基本 收入 。 由 于 采 
用 了 区 块 链 技术 ， 资 金 可 以 被 透明 地 分 配 ， 且 容易 找到 受益 于 援助 的 人 


= 
To 


的 透 


与 之 类 似 ， 政 府 可 以 利用 区 鞭 链 同 公 民有 发 放 财 政 援助 。 区 块 链 技术 
明 性 可 以 防止 腐败 和 资金 滥用 等 问题 。 


16.1.2.3 ”人 金融 用 途 


区 块 链 技术 将 在 多 种 地 方 改变 世界 ， 如 以 下 儿 个 方面 。 


审计 。 在 银行 等 第 规 金 融 机 构 中 ， 保 证 资金 和 个 人 数据 的 安全 是 一 
个 很 大 的 挑战 。 除 此 之 外 ， 政 府 通 种 会 要 求 银行 对 客户 账户 进行 审 
查 以 识别 可 疑 区 易 。 由 于 所 有 的 交易 都 记录 在 一 个 分 布 式 账本 中 ， 
因此 区 块 链 技术 可 以 用 于 审计 。 所 有 的 交易 都 可 以 被 记录 下 来 ， 并 
且 如 果 存 在 任何 可 疑 的 交易 ， 审 计 人 员 可 以 轻松 识别 出 交易 的 当 事 
Ko 

加 密 货 币 。 加 密 货 币 引 起 了 人 们 对 区 块 链 技术 的 大 量 关 注 。 尤 其 是 
比特 币 ， 它 表明 了 区 块 链 技术 可 以 用 于 构建 不 受 任何 政府 控制 的 货 
币 。 由 于 其 提供 给 用 户 的 安全 性 和 匿名 性 ， 加 密 货币 被 用 于 上 暗 网 的 
地 下 市 场 中 进行 非法 活动 。 随 后 ， 其 他 的 加 密 贷 币 也 相继 诞生 ， 加 
密 货 币 在 现实 世界 中 被 越 来 越 多 地 采用 ， 其 前 景 十 分 广阔 。 加 和 密 货 
币 也 可 以 被 用 来 支付 球 项 ， 与 普通 货币 不 同 的 是 ， 普 通货 币 必须 经 
过 各 种 机 构 才 能 进行 转账 ， 因 此 会 产生 更 多 的 费用 和 时 间 ， 而 加 密 
货币 则 提供 了 一 种 更 快速 和 经 济 的 转账 方式 。 























区 块 链 技术 还 有 许多 其 他 浒 在 的 应 用 场景 。 研 究 人 员 正 试图 使 用 该 
技术 解决 许多 问题 ， 例 如 粮食 安全 。 不 过 ， 本 章 将 着 重 于 区 块 链 的 金融 
HR, THE 
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如 前 文 所 述 ， 区 块 链 更 多 地 应 用 在 加 密 货 币 中 。 加 密 货币 是 去 中 心 
化 的 、 利 用 对 等 网 络 技 术 的 虚拟 货币 。 因 为 是 去 中 心 化 的 ， 所 以 加 密 货 
币 不 会 被 单个 市 点 或 蛙 一 实体 所 控制 。 交 易 是 从 发 送 方 到 接收 方 直接 进 
行 的 ， 没 有 任何 中 介 。 为 了 实现 这 一 目标 ， 节 点 需要 拥有 一 个 包含 所 有 
交易 的 账本 ， 用 于 对 新 的 交易 进行 验证 。 因 此 ， 如 果 你 正在 发 送 一 定数 
量 的 数字 货币 ， 对 等 网 络 将 决定 你 是 否 可 以 执行 交易 。 如 果 交 易 被 对 等 
网 络 验证 ， 它 将 通过 验证 并 将 被 添加 到 所 有 对 等 网 络 拥有 的 分 布 式 账本 
中 。 图 16-1 总 结 了 加 密 货 币 中 资金 转账 的 过 程 。 
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加 密 货 币 


O 加 密 货 币 足 一 种 交换 媒介 ， 在 区 块 链 中 创建 和 


存储 ， 使 用 加 密 技 术 来 控制 货币 单位 的 创建 和 
验证 资金 的 转移 。 比 特 币 就 是 最 著名 的 例子 


X 





c A 





没有 内 在 价值 ， 没有 物 型 形 式 ， 它 的 供给 不 由 


因为 不 可 以 用 F 只 存在 十 网 络 中 中 央 银 行 决定 ， 
国 Blockgeeks 兑换 其 他 商品 ， 网 络 是 完全 去 
例如 黄金 中 心 化 的 
图 16-1 


正如 我 们 前 面 所 讨论 的 ， 后 台 执 行 了 许多 操作 来 决定 是 否 将 交易 加 
入 分 布 式 账本 。 我 们 讨论 了 两 种 常用 的 共识 机 制 。 使 用 加 密 贷 币 进 行 的 
交易 与 使 用 传统 货币 进行 的 交易 有 很 大 的 不 同 。 以 下 是 加 密 货 币 交 易 的 
特性 。 





。 不 可 启 。 一 旦 交易 完成 ， 就 永远 无 法 撤销 。 没 有 人 拥有 撤销 交易 的 
权利 ， 因 此 ， 如 果 交 易 发 生 ， 束 不 能 撤销 。 这 意味 着 ， 如 果 你 不 小 
心 将 资金 转 给 了 错误 的 收 蒜 人 ， 这 些 资金 将 无 法 撤回 。 同 样 ， 如 果 
黑客 急 取 了 你 的 加 密 货 币 ， 那 么 也 无 法 将 其 恢复 。 这 就 是 为 什么 始 

终 建议 用 户 受 善 保管 自己 的 私 钥 ， 并 确保 在 转账 之 前 反复 核对 收 球 








人 的 钱包 地 址 。 

匿名 。 通 过 加 密 货 币 进行 的 交易 不 会 被 任何 政府 或 机 构 记 录 。 不 
过 ， 有 交易 会 修 公 开 记 录 在 一 个 分 布 式 账本 上 。 尽 管 交 易 双 方 的 真实 
姓名 或 身份 没有 写 在 这 个 账本 上 ， 但 账本 中 写 明 了 他 们 的 地 址 。 交 
易 双 方 不 一 定 是 已 知 的 ， 但 如 果 第 三 方 知道 了 用 户 的 地 址 ， 束 可 以 
知道 该 地 址 所 执行 的 所 有 交易 ， 因 为 所 有 的 详情 都 保存 在 分 布 式 账 
本 上 。 

。 全 球 性 。 加 蜜 货币 的 一 些 币 种 中 ， 交 易 几 乎 是 瞬时 发 生 的 ， 而 在 其 
他 一 些 币 种 中 ， 也 只 需要 几 分 钟 的 时 间 。 由 于 没有 中 间 媒 介 ， 并 且 
交易 在 对 等 网 络 验证 完成 后 立即 得 到 确认 ， 因 此 交易 的 发 起 和 接收 
可 以 在 全 球 任何 地 方 进行 。 

安全 。 加 密 货 币 的 交易 不 会 成 为 攻击 者 的 目标 。 加 密 货币 交易 中 的 
许多 安全 问题 与 使 用 的 钱包 有 关 ， 而 与 交易 本 身 无 天。 加密 货币 的 
加 密 系 统 使 它们 无 法 被 破解 。 














16.2.1 ”加密 货币 钱包 








加 密 货币 钱包 用 于 存储 或 交易 加 密 货 币 以 及 其 他 数字 资产 。 它 们 区 
像 保险 箱 一 样 ， 只 有 租用 保险 箱 的 人 才能 得 到 解锁 的 钥 是 。 同 样 ， 只 有 
创建 加 密 货 币 钱包 的 人 才能 获得 访问 该 钱包 的 密 钥 。 这 个 密 钥 是 私 钥 ， 
私 钥 的 丢失 将 直接 导致 存储 在 钱包 中 的 资产 丢失 。 与 此 同时 ， 如 果 男 一 
方 掌 握 了 个 人 的 私 钥 ， 他 们 束 可 以 从 该 钱包 中 转移 资金 。 加 密 货 币 钱包 
存储 了 两 种 类 型 的 密 钥 一 一 私 钥 和 公 钥 。 正 如 我 们 所 讨论 的 ， 私 钥 证 明 
了 钱包 的 所 有 权 ， 只 有 钱包 的 真正 主人 才能 拥有 此 密 钥 。 公 和 钥 是 使 用 复 
杂 的 方法 从 私 钥 中 派生 出 来 的 。 公 钥 用 于 创建 钱包 的 地 址 ， 在 某 些 钱包 
中 ， 公 钥 就 是 钱包 的 地 址 ， 还 有 的 钱包 通过 散 列 和 缩短 公共 地 址 的 方式 











生成 钱包 地 址 。 钱 包 地 址 是 可 以 用 来 接收 钱包 中 的 资金 的 地 址 。 钱 包 的 
类 型 各 不 相同 ， 以 下 是 几 种 不 同 的 钱包 。 





16.2.1.1 ”桌面 钱包 


桌面 钱包 以 软件 的 形式 在 计算 机 上 运行 ， 且 只 会 在 被 安装 的 计算 机 
上 运行 ， 因 此 ， 果 面 钱包 不 能 在 所 有 者 的 计算 机 外 使 用 。 呆 面 钱 包 不 容 
易 被 盗 ， 因 此 相对 安全 。 不 过 ， 如 果 计 算 机 感染 了 恶意 软件 ， 架 面 钱 包 
里 的 资金 可 能 会 永久 丢失 。 





16.2.1.2 ”网 络 钱包 


网 络 钱包 运行 在 Web 浏 览 器 中 ， 有 的 以 浏览 器 插件 的 形式 运行 在 浏 
览 句 中 ， 有 的 作为 基于 Web 的 系统 运行 。 使 用 网 络 钱包 进行 交易 非常 方 
便 ， 可 以 从 多 种 设备 访问 。 然 而 ， 由 于 存在 许多 针对 浏览 器 的 网 络 威 
肋 ， 因 此 网 络 钱包 也 面临 着 更 大 的 安全 风险 。 





16.2.1.3 ”移动 钱包 


移动 钱包 以 智能 手机 的 应 用 程序 形式 运行 。 移 动 钱包 为 那些 希望 随 
时 随地 使 用 钱包 的 人 提供 了 便利 。 由 于 其 便携 性 ， 移 动 钱 包 面 临 着 移动 
设备 丢失 而 带 来 的 高 风险 。 


16.2.1.4 ”硬件 钱包 


人 硬件 钱包 是 专门 用 来 存储 加 密 货 币 的 特殊 硬件 设备 。 人 硬件 钱包 是 最 


安全 的 钱包 之 一 ， 通 第 被 那些 希望 长 期 持 有 加 密 货币 的 人 使 用 。 硬 件 钱 
包 采 取 了 多 种 安全 措施 来 保护 用 户 的 私 铀 ， 私 钥 不 会 暴露 给 任何 计算 机 
或 基于 Web 的 系统 。 人 硬件 钱 包 不 会 遭受 计算 机 恶意 软件 的 威胁 ， 也 不 会 
被 盗 禄 者 人 破坏。 不 过 ， 其 他 类 型 的 钱包 往往 是 免费 的 ， 而 硬件 钱包 通 各 


价格 高 昂 。 











16.2.1.5” 纸 钱包 


纸钱 包 是 打印 在 纸 上 的 钱包 。 纸 钱包 在 加 密 货币 的 存储 过 程 中 不 会 
用 到 电子 设备 。 纸 钱包 通 第 被 布 望 长 时 间 持 有 加 密 货币 并 在 其 间 不 发 生 
交易 的 人 使 用 。 然 而 ， 纸 钱包 容易 被 盗 、 破 坏 和 磨损 。 


16.2.2 ”加 密 货 币 面临 的 挑战 


尽管 加 密 贷 币 带 来 了 诸多 好 处 ， 但 在 最 近 一 段 时 间 里， 它们 一 直面 
临 着 严峻 的 挑战 。 以 下 是 其 中 的 一 些 挑战 。 


16.2.2.1 价格 不 稳定 








2017 年 ， 比 特 币 价格 诡 升 ， 在 2018 年 初 达到 了 1.9 万 美元 的 高 点 。 
然而 ， 价 格 在 随后 短 短 6 个 月 的 时 间 里 下 跌 至 6000 美 元 的 低 点 。 这 导致 
许多 以 投资 为 目的 购买 加 密 货 币 的 人 遭受 了 金钱 的 损失 。 自 从 2018 年 几 
乎 所 有 加 密 货 币 的 价值 大 幅 下 跌 以 来 ， 加 密 货 币 的 采用 率 一 直 在 下 降 。 
个 体 和 企业 都 担心 使 用 一 种 会 迅速 贬值 的 货币 来 进行 交易 。 








16.2.2.2 W% 


全 球 范 围 内 的 网 络 攻击 有 所 增加 ， 这 些 攻击 导致 了 巨大 的 损失 。 专 
门 针 对 加 蜜 货币 的 攻击 已 经 出 现 ， 有 的 恶意 软件 被 设计 来 从 用 户 的 手机 
或 计算 机 中 守 取 私 钥 〈 一 些 钱包 将 私 钥 存储 在 主机 的 机 密 目 录 中 ) ， 还 
有 一 些 亚 意 软 件 梓 设计 来 锣 取 网 络 钱包 用 户 的 密 钥 或 会 话 。 








16.2.2.3 ”交易 风险 





加 密 货 币 可 以 在 交易 所 进行 交易 ， 有 的 交易 所 在 进行 交易 时 会 保留 
用 户 的 加 密 货币 。 有 的 攻击 专门 针对 持 有 用 户 资 金 的 交易 平台 ， 这 些 攻 
击 第 导致 数 百 万 美元 的 损失 。 当 这 些 平台 受到 攻击 时 ， 由 平台 处 理 的 用 
户 资金 全 部 被 盗 。 除 此 之 外 ， 茶 些 交 易 平 台 还 存在 其 统 用 户 的 风险 ， 因 
为 平台 不 受 监管 ， 所 以 平台 可 以 扣留 用 户 的 资金 且 永 远 不 发 放 给 用 户 。 
由 于 加 密 货币 不 受 法 律 的 监管 ， 因 此 用 户 对 此 无 能 为 力 。 











16.3 ”区 块 链 技术 的 挑战 和 未 来 





区 块 链 技术 越 来 越 受 到 关注 ， 它 所 面临 的 挑战 也 是 如 此 。 痛 先 ， 该 
技术 面临 着 终端 漏洞 的 巨大 挑战 。 尺 管 该 搁 术 是 安全 的 ， 但 它 是 通过 具 
有 不 同安 全 级 别 的 终端 来 使 用 的 。 例 如 ， 用 户 可 能 正在 感染 了 恶意 软件 
的 设备 上 使 用 加 密 货 币 。 尽 管 这 不 是 区 块 链 技术 中 的 一 个 安全 缺陷 ， 但 
它 是 一 个 需要 应 对 的 严重 挑战 ， 因 此 需要 在 将 来 找到 保护 终端 安全 的 方 
VE 


区 块 链 技术 的 另 一 个 挑战 是 不 确定 性 。 区 块 链 技术 到 目前 为 止 表现 
良好， 但 它 的 实现 才刚 刚 开 始 。 该 技术 依赖 于 对 等 网 络 ， 这 意味 着 其 实 
现 的 增长 越 多 ， 对 等 网 络 的 压力 就 越 大 。 到 目前 为 止 ， 这 项 技术 还 没有 
进行 过 全 面 的 测试 ， 所 以 如 果 它 被 应 用 到 许多 其 他 领域 ， 将 如 何 表现 还 
不 得 而 知 。 


最 后 ， 区 块 链 易于 遭受 和 欺诈。 如果 一 个 网 络 中 51% 的 参与 者 合谋 诈 
骗 ， 束 会 发 生 51% 攻 击 。 阻 止 这 一 攻击 发 生 的 主要 因素 是 故 起 该 攻击 所 
需要 耗费 的 资源 成 本 。 不 过 ， 当 计算 资源 和 电力 成 本 下 降 时 ， 将 可 能 会 
破坏 许多 对 等 网 络 的 稳定 性 。 在 未 来 ， 应 该 对 该 技术 进行 升级 ， 以 防止 
这 类 攻击 的 发 生 。 








16.4 小结 





本 章 介 绍 了 区 了 英 链 撤 术 的 兴起 ， 并 更 多 地 讨论 了 该 技术 对 金融 方面 
的 影响 。 本 章 介 绍 了 区 块 链 的 含义 以 及 共识 机 制 ， 主 要 讨论 了 两 种 共识 
机 制 : 工作 量 证 明和 权益 证 明 。 然 后 本 章 介绍 了 该 技术 的 应 用 ， 如 前 所 
述 ， 该 拉 术 可 以 应 用 于 多 个 领域 ， 例 如 数字 身份 、 货 币 交 易 和 审计 。 然 
后 我 们 将 焦点 放 在 加 密 货 币 上 ， 给 出 了 加 密 货 币 的 定义 ， 解 释 了 它们 是 
如 何 工作 的 。 由 于 加 密 货币 存储 在 加 密 钱 包 中 ， 因 此 本 章 讨 论 了 不 同 种 
类 的 钱包 : 桌面 钱包 、 网 络 钱包 、 硬 件 钱包 、 移 动 钱包 和 纸钱 包 。 然 
后 ， 本 章 讨论 了 加 密 货 币 面临 的 挑 或 ， 例 如 价格 不 稳定 、 被 盗 和 交易 风 
险 。 最 后 ， 本 章 对 区 块 链 技 术 所 面临 的 挑战 进行 了 解释 。 








第 17 章 和 第 18 章 将 详细 讨论 人 工 智 能 和 量子 计算 ， 尤 其 是 它们 对 未 


来 带 来 的 不 同 影响 。 


第 17 章 人工 智能 与 网 络 安全 


全 世界 的 企业 都 在 对 人 工 乔 能 和 上 自动 化 进行 投资 ， 期 望 它 能 够 改善 
其 业务 流程 ， 提 高 生产 力 并 且 改善 运营 效率 。 银 行 在 研究 如 何在 其 
ATM 网 络 中 通过 人 工 智 能 实施 其 诈 检 测 ， 保 险 公 司 在 探索 如 何 使 用 人 
工 智 能 来 预测 其 向 客户 提供 的 服务 的 利润 ， 经 纪 人 已 经 开始 使 用 人 工 乱 
能 来 预测 股票 市 场 的 走势 。 图 17-1 说 明了 截至 2017 年 商业 公司 采用 人 工 
智能 的 原因 。 





回复 比例 





人 工 智 能 可 “人工 智能 可 采用 人 工 智 ” 现 存 的 竞争 ”降低 企业 成 ”供应 商会 提 ”顾客 将 会 要 
以 帮助 公司 ”以 帮助 公司 ”能 的 新 公司 ”对手 会 使 用 ”本 的 压力 推 ” 供 人 工 智能 求 企 业 提供 
获得 或 保持 ”开拓 新 业务 ”会 挤占 我 们 ATARE 动 着 对 人 工 3 sm ATARE 
竞争 优势 智能 的 采用 或 服务 动 的 服务 
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截至 2017 年 ， 商 业 公 司 采用 人 工 智能 (Artificial intelligence, AD 的 原因 


图 17-1 





当 谈 到 人 工 知 能 的 时 候 ， 总 是 会 出 现 许多 流行 词 。 最 重要 的 是 要 深 
入 了 解 这 些 流行 词 背后 的 东西 ， 这 样 才 能 真正 理解 人 工 乔 能 这 项 新 技 


术 。 图 17-2 说 明了 人 工 智能 领域 的 演进 路 线 。 
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1950 1960 1970 1980 1990 2000 2010 2020 2030 2040 (年 份 ) 
自 20 世 纪 50 年 代 早 期 人 工 智能 的 出 现 以 来 ， 人 工 智能 的 影响 越 来 越 大 ， 而 人 工 智 能 中 的 一 小 部 分 ， 也 就 是 机 器 
学 习 以 及 深度 学 习 ， 先 后 给 世界 带 来 了 越 来 越 大 的 颠 履 性 的 影响 


图 17-2 


人 工 知 能 技术 的 突破 无 疑 也 是 社会 的 进步 。 但 是 ， 现 实情 况 是 ， 所 
有 这 些 采 用 了 人 工 智 能 的 公司 仍然 在 遭受 网 络 徘 犯 的 攻击 ， 因 为 后 者 每 
天 都 在 实施 新 的 网 络 犯罪 。 人 工 智 能 给 网 络 安全 领域 带 来 了 许多 好 处 ， 
安全 供应 商 已 经 发 现 了 这 一 点 ， 并 且 开 始 加 大 投资 ， 构 建 能 够 分 析 大 量 
数据 的 机 器 学 习 引 擎 ， 这 些 引 擎 最 终 将 用 于 训练 人 工 智能 以 检测 和 响应 
网 络 攻击 。 借 助 基 于 人 工 智能 的 安全 产品 ， 你 可 以 将 威胁 防护 从 战术 产 
品 提升 到 战略 平台 。 这 样 ， 你 可 以 极 大 地 提高 安全 性 。 恶 意 内 容 、 恶 意 
软件 以 及 漏洞 的 诞生 速度 远 远 超 过 任何 财务 资源 或 人 力 所 能 处 理 的 范 
畴 。 这 种 情况 下 ， 想 要 通过 人 工分 析 师 来 分 析 每 个 威胁 是 不 现实 的 。 因 
此 ， 需 要 通过 由 机 器 学 习 和 深度 学 习 提供 支持 的 人 工 智能 来 完成 这 项 任 
务 。 本 章 将 重点 介绍 人 工 智 能 在 网 络 安全 领域 里 的 优势 。 





17.1 威胁 的 演变 


根据 迈克 菲 和 国际 战略 研究 中 心 的 数据 ， 全 球 网 络 安全 事件 每 年 造 
成 的 损失 达 6000 亿 美元 。 此 外 ， 经 济 学 人 智库 证 实 ， 有 30% 的 安全 专业 
人 员 预 计 每 90 天 内 束 会 出 现 一 次 重大 的 安全 事故 。 这 些 数字 令 人 展 慰 ， 
企业 需要 立即 予以 关注 。 





“没有 完美 的 安全 ， 安 全 也 不 是 终点 ， 而 是 一 个 永 无 止境 的 旅程 。” 
一 一 约翰 : 克 莱 门 斯 (John Klemens) 


Telos Corporation IA Solutions 技术 总 监 


成 功 的 网 络 攻击 会 给 企业 带 来 灾难 性 的 后 果 。 例 如 ， 在 金融 服务 行 
业 中 ， 安 全 事件 可 能 导致 企业 的 收入 出 现 重 大 损失 ， 以 及 失去 最 终 用 户 
对 企业 的 信任 。 网 络 攻击 会 损害 企业 的 声誉 。 如 果 长 达 180 天 都 没有 发 
现 网 络 攻击 ， 那 么 就 需要 警惕 了 了 ， 因 为 很 可 能 仅 靠 基于 人 工分 析 的 方法 
无 法 与 新 型 攻击 进行 对 抗 。 











17.2 人 工 智 能 





让 我 们 来 深入 了 解 下 人 工 知 能。 首先 需要 强调 的 是 ， 并 非 所 有 人 工 


智能 都 是 相同 的 。 例 如 下 面 这 3 个 就 完全 不 一 样 : 你 可 能 仍然 记得 电影 
《终结 者 》 中 的 天 网 ， 以 及 在 沙特 阿拉 伯 未 来 投资 计划 会 议 上 发 表演 讲 
的 人 工 智 能 机 器 人 露 西 ， 或 者 Windows Defender 高 级 威胁 防护 中 的 基于 
微软 人 工 智 能 的 安全 目 动 化 解决 方案 。 人 工 知 能 是 对 计算 机 科学 的 研 

究 ， 致 力 于 开发 模仿 或 超越 人 类 智能 的 软件 。 人 工 智 能 的 范围 很 广 ， 从 
简单 的 计算 到 两 个 互相 对 三 的 机 器 人 ， 再 到 从 根本 上 改变 未 来 的 自 操纵 
技术 ， 如 图 17-3 所 示 。 











17.2.1 狭义 人 工 智能 


狭义 人 工 智 能 (Narrow AI) 没有 自我 意识 或 者 真正 的 智力 ， 如 图 
17-4 所 示 。 狭 义 人 工 智 能 的 最 好 例子 是 数字 助理 ， 例 如 竺 果 的 Siri、 微 
软 的 Cortana 和 亚马逊 的 Alexa。 这 些 助 手 一 次 执行 一 项 任务 。 以 Cortana 
为 例 ，Cortana 可 以 帮助 用 户 执 行 许多 任务 ， 但 是 当 你 尝试 和 Cortana 进 
行 深入 对 话 的 时 候 ， 你 就 会 发 现 这 类 人 工 智 能 的 能 力 其 实 比 较 弱 。 


狭义 人 工 智能 


|。 学 习 和 推理 


o it is em 
|。 适 应 性 一 | 








17.2.2 HIER) A TA Re 


真正 的 人 工 智能 (True AD 承担 着 很 多 责任 ， 在 这 里 你 会 看 到 政 
治 家 、 行 业 领 导 者 和 有 远见 的 人 开始 争论 伦理 学 以 及 人 工 智 能 应 该 做 什 
么 和 不 应 该 做 什么 。 真 正 的 人 工 镶 能 是 和 人 脑 兰 不 多 聪明 ， 甚 全 比 人 脑 
还 要 聪明 的 计算 机 。 


电影 《终结 者 》 或 者 电影 《黑客 各国》 中 的 天 网 天 是 真正 的 人 工 和 六 
能 的 很 好 的 例子 。 我 们 以 《黑客 芝 国 》 为 例 并 深入 研究 它 。 在 电影 中 ， 
人 工 智 能 是 在 21 世 纪 初 期 研发 的 。 它 可 以 让 整个 机 器 人 在 无 须 人 工 干预 
的 情况 下 目 行 思考 和 采取 行动 。 机 器 人 发 起 了 权利 运动 ， 接 管 了 美 索 不 
达 米 亚 市 ， 并 建造 了 第 一 个 机 器 城 01。 在 这 个 城市 里 ， 机 器 人 创建 了 一 
个 新 的 更 厉害 的 人 工 智能 。 人 类 与 机 器 人 之 间 的 战争 开始 了 。 在 战争 期 
间 ， 人 类 决定 消除 机 避 人 工作 所 需 的 动力 源 一 一 太阳 光 ， 但 是 机 器 人 很 
快 了 解 到 ， 人 类 本 里 也 是 动力 源 ， 这 导致 了 几乎 全 人 类 被 奴役 。 在 钊 舱 
内 ， 人 类 被 接 入 了 虚拟 现实 。 电 影 中 这 个 更 厉害 的 人 工 关 能 开发 了 人 工 
智能 感知 程序 ， 例 如 建筑 师 。 虚 拟 世 界 中 的 所 有 事务 都 由 基于 人 工 智能 








的 程序 管理 和 控制 着 。 你 可 能 会 说 这 些 不 过 是 电影 中 的 情节 罢了 ， 但 下 
面 让 我 们 看 看 发 生 在 现实 世界 中 的 类 似 的 例子 。 在 2017 年 ，Facebook 吓 
停 了 一 个 人 工 智 能 实验 ， 因 为 他 们 发 现实 验 中 的 两 个 聊天 机 器 人 发 明了 
只 有 它们 自己 才能 听 得 懂 的 语言 。 这 是 在 Facebook 让 聊天 机 器 人 尝试 与 
不 同行 业 的 人 进行 对 话 之 后 发 生 的 。 图 17-5 展 示 了 聊天 机 器 人 Bob 和 
Alice 之 间 的 对 话 。 











Bob: i can ii everything else.............. 

Alice: balls have zero to me to me to me to me to me to me to me to me to 
Bob: you i everything else.............. 

Alice: balls have a ball to me to me to me to me to me to me to me 


Bob: ii can iii everything else.............. 





Alice: balls have a ball to me to me to me to me to me to me to me 

有 站 

Alice: balls have zero to me to me to me to me to me to me to me to me to 
Bob: you iiiiieverything else.............. 

Alice: balls have 0 to me to me to me to me to me to me to me to me to 


Bob: you iii everything else.............. 











Alice: balls have zero to me to me to me to me to me to me to me to me to 


图 17-5 
17.2.3 ”推动 人 工 智 能 发 展 的 技术 
要 使 用 人 工 智 能 ， 你 需要 对 大 数据 和 智能 算法 有 所 了 解 。 让 我 们 进 
一 步 看 看 下 面 这 些 为 人 工 智 能 提供 支持 的 技术 。 


。 有 监督 机 需 学 习 。 大 多 数 实 用 的 机 器 学 习 都 是 有 监督 的 学 习 。 有 监 
督 机 器 学 习 是 在 拥有 输入 变量 X) 和 输出 变量 (Y) 的 情况 下 ， 训 
练 输入 和 输出 之 间 的 映射 关系 的 算法 。 








。 无 监督 机 需 学 习 。 无 监督 机 器 学 习 也 是 一 种 机 器 学 习 ， 只 是 无 监督 
而 已 。 在 无 监督 机 器 学 习 的 情况 下 ， 尽 管 有 输入 值 X ， 但 却 没 
有 与 之 匹配 的 输出 值 。 

。 半 监督 机 禹 学 习 。 半 监督 机 器 学 习 是 指 拥有 大 量 输入 值 (X) 并 且 
仅 知 道 部 分 的 输出 值 CY) o 

。 深度 学 习 。 尽 管 机 器 学 习 专 注 特定 于 任务 的 算法 ， 但 深度 学 习 体系 
结构 《例如 深度 神经 网 络 ) 已 经 应 用 于 各 个 领域 ， 它 所 产 出 的 结果 
WEARER, ERRATA PIT ARE ZK. 














17.3 ”基于 人 工 智能 的 网 络 安全 


当前 ， 几 乎 所 有 安全 三 商都 在 宣传 他 们 的 技术 具有 茶 种 人 工 智能 。 
但 是 ， 人 工 智 能 有 多 种 变 体 ， 并 且 背 后 的 实现 技术 也 有 所 不 同 。 你 需要 
留意 市 场 营 销 部 门 故意 使 用 的 流行 词 。 安 全 供应 商 在 人 工 智 能、 机 器 学 
习 等 方面 具体 做 了 些 什 么 并 不 总 是 很 容易 弄 清楚 。 








构建 由 人 工 智 能 驱动 的 安全 解决 方案 很 有 挑战 性 ， 而 且 需 要 大 量 成 
本 。 这 些 成 本 包括 构建 用 于 操作 人 工 智 能 的 底层 基础 系统 ， 以 及 使 得 这 
些 系统 能 够 实时 伸缩 扩展 所 需 的 成 本 。 最 后 ， 市 场 上 拥有 足够 经 验 、 能 
够 胜任 人 工 智 能 代码 编写 ， 并 且 还 能 够 处 理 复杂 的 数学 原理 问题 来 创建 
高 效 且 可 扩展 的 人 工 智能 解决 方案 的 人 才 数量 非常 有 限 。 即 使 从 些 公司 
可 以 投资 基础 架构 并 且 能 够 聘请 到 这 些 人 才 ， 他 们 也 还 需要 大 量 数据 来 
训练 人 工 智 能。 世界 上 只 有 少数 公司 拥有 如 此 大 量 的 数据 。 这 些 公司 需 
要 从 终端 和 移动 设备 收集 并 深入 了 解 大 量 数 据 。 因 此 ， 像 苹 末 、 谷 歌 、 
微软 、 亚 号 还 和 Facebook 这 样 的 公司 束 拥 有 明显 的 优势 。 























显然 ， 基 于 人 工 智能 的 安全 解决 方案 将 在 许多 防御 场景 中 为 网 络 安 
全 团队 提供 帮助 和 支持 。 狭 义 的 人 工 智 能 可 以 用 来 执行 简单 的 任务 ， 例 
ee ee ee 

识 的 人 工 智能 出 现 的 那 一 天 ， 人 工 智能 不 仅 可 以 向 安全 运营 中 心 发 出 
警报 ， 还 能 够 在 它 检测 到 网 络 犯罪 分 子 试图 实行 破坏 的 时 候 ， 自 动 调整 
预防 性 安全 控制 措施 ， 从 而 在 一 开始 就 防止 破坏 行为 的 发 生 。 毫 无 疑 
问 ， 基 于 人 工 智 能 的 安全 解决 方案 将 为 网 络 安全 团队 提供 明智 的 建议 。 
图 17-6 展 示 了 微软 Windows Defender 高 级 威胁 防护 解决 方案 中 基于 人 工 
智能 的 自动 化 安全 防御 。 
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使 用 案例 


你 可 能 会 在 图 17-7 所 示 的 这 5 个 场景 里 运用 人 工 智 能 来 帮助 你 改善 
网 络 安全 状况 ， 以 及 让 网 络 运营 变 得 更 安全 。 


-— FE 


e 运 用 人 工 智能 来 执行 事件 分 析 ， 提 供 关于 事件 影响 的 深入 的 信息 ， 
查 明 威 胁 实施 者 ， 并 追溯 事件 攻击 链 。 





EE 


e 很 多 时 候 ， 在 对 安全 事件 警报 进行 分 析 后 的 结果 表明 这 其 实 是 
误 报 ， 而 通过 人 工 智 能 来 增强 检测 系统 可 以 有 效 降 低 误 报 率 。 


本 持续 监控 


© 人 工 智能 不 用 睡觉 ， 因 此 它 可 以 持续 地 对 所 有 系统 进行 监控 ， 并 
及 时 发 现 异常 行为 。 





一 本 


© 人 工 智能 可 以 结合 从 企业 内 部 以 及 外 部 搜集 到 的 威胁 情报 ， 并 基 
于 此 提供 关于 威胁 的 预测 。 





一 本 


e 人 工 智 能 可 以 根据 事件 的 上 下 文 做 出 合理 的 推断 ， 并 且 以 人 工 监 
督 的 方式 或 者 全 自动 化 的 方式 创建 或 者 执行 应 急 预案 。 











图 17-7 


以 上 这 些 用 例 都 相当 新 闲 ， 人 工 智 能 尚未 被 任何 安全 供应 两 挖掘 出 
全 部 潜力 。 不 过 很 明显 的 是 ， 人 工 智 能 在 对 抗 网 络 犯 罪 方面 有 很 高 的 价 
值 ， 与 此 同时 安全 厂商 也 在 持续 投资 这 个 领域 。 





17.4 小结 


本 章 介 绍 了 人 工 智 能 不 仅仅 是 人 脑 的 模仿 品 ， 它 还 有 许多 不 同 的 技 
术 、 使 用 案例 和 场景 需要 考虑 。 你 可 能 会 接 到 一 通 来 自 安 全 供应 商 的 电 
话 ， 电 话 里 的 销售 人 员 试 图 网 你 出 售 全 球 首 个 基于 人 工 智 能 的 安全 解决 
方案 ， 你 在 购买 之 前 最 好 还 是 先 深 刻 理解 一 下 什么 是 人 工 智能 。 如 果 你 








真 的 这 么 做 了 ， 那 么 你 就 可 以 在 电话 里 提问 ， 例 如 “你 的 人 工 智能 是 狭 
义 人 工 智 能 还 是 真正 的 人 工 智 能 ? ?或 者 “机 器 学 习 是 有 监督 机 融 学 习 、 
无 监督 机 器 学 习 还 是 半 监 督 机 右 学 习 ? ”这 里 的 关键 是 不 要 被 销售 的 话 
术 聚 珊 了 ， 你 需要 准确 地 了 解 人 工 智能 这 项 技术 如 何 能 够 帮助 你 检测 和 
应 对 不 断 变 化 的 威胁 形势 。 你 将 需要 确保 该 技术 可 以 帮助 你 尽快 友 现 和 
抵御 网 络 攻击 。 图 17-8 所 示 是 麻 省 理工 学 院 的 一 个 基于 人 工 智 能 的 网 络 
安全 系统 项 目 ， 它 可 以 检测 85% 的 网 络 攻 击 ， 不 过 这 仅仅 只 是 开始 。 


基于 人 工 智能 的 网 络 安全 系统 


无 监督 机 器 
学 习 


行为 指标 





图 17-8 


第 18 章 ”量子 与 未 来 


随 着 量子 计算 机 的 出 现 和 发 展 ， 计 算 将 发 生 彻底 变化 。 这 将 是 计算 
领域 的 一 大 飞 距 ， 它 将 给 当今 使 用 的 各 种 技术 布 来 翻天 宪 地 般 的 变化 。 
目前 许多 安全 技术 都 基于 计算 各 种 数学 难题 的 复杂 性 ， 普 通 计 算 机 要 破 
解 这 些 难题 可 能 需要 花费 数 干 、 数 百 万 或 数 十 亿 年 的 时 间 。 这 些 安全 技 
术 大 多 部 是 使 用 了 加 密 技术 的 安全 解决 方 采 。 但 是 ， 量 子 计 算 机 的 面世 
将 意味 着 这 些 复杂 的 难题 可 以 在 更 短 的 时 间 内 得 到 解决 。 因 此 ， 许 多 当 
前 被 认为 是 安全 的 加 密 算 法 在 量子 计算 机 诞生 后 ， 其 安全 性 将 不 复 存 
在 。 量 子 计算 机 将 接管 未 来 ， 它 不 仅 是 一 种 先进 的 计算 方式 ， 也 是 原子 
对 计算 机 的 一 次 彻底 重 构 。 这 些 变化 将 在 世界 范围 内 产生 广泛 的 影 啊 。 








本 章 将 对 以 下 主题 进行 研究 : 


量子 技术 的 发 展 ; 
量子 技术 竞赛 ; 

量子 技术 的 突破 ; 
量子 技术 的 影响 。 


第 一 台 通 用 计算 机 诞生 于 1837 年 ， 是 人 类 在 计算 史上 的 一 大 进步 。 
一 个 世纪 之 后 ， 电 子 数 值 积 分 计算 机 (Electronic Numerical Integrator 
And Computer, ENIAC) 的 诞生 又 使 计算 史 达 到 了 另 一 个 里 程 碑 ， 这 
是 第 一 台电 子 计算 机 。 它 使 用 真空 管 来 控制 电流 。 此 后 ， 唱 体 管 的 引入 
使 得 人 类 可 以 构建 出 更 小 的 计算 机 。 如 今 ， 微 处 理 器 技术 占据 了 主导 地 





位 ， 我 们 能 创建 功能 更 强大 但 体积 却 更 小 的 计算 机 处 理 器 。 计 算 机 


己 经 从 占用 整个 房间 的 大 小 减少 到 手掌 般 大 小 。 和 古老 的 计算 机 相 
比 ， 这 似乎 是 非常 大 的 改进 ， 但 是 计算 机 的 制造 方式 并 没有 发 生根 本 的 
改变 。 人 们 所 做 的 大 多 数 和 尝试 都 是 为 了 减 小 计算 机 的 体积 。 使 用 目 顶 回 
下 的 方法 来 构建 计算 机 的 思路 仍 在 发 挥 作用 。 然 而 ， 一 系列 从 下 而 上 的 
在 原子 和 电子 水 平 上 构建 计算 机 的 研究 正在 开展 。 


18.1 量子 技术 的 发 展 
以 下 是 量子 技术 研究 所 经 历 的 过 程 。 
1965 年 


一 位 名 叫 理 查 德 : 费 曼 (Richard Feynman) 的 物理 学 家 参与 了 原子 
弹 的 研制 。 他 在 研究 中 提出 了 关于 量子 电子 学 的 几 种 理论 ， 这 些 理论 解 
释 了 电子 是 如 何 相 互 作 用 的 。 他 创造 了 电子 和 光子 之 间 的 视觉 描绘 ， 以 
及 其 他 几 种 原子 相互 作用 的 描绘 。 











19804 


费 曼 研究 了 有 关 量 子 物理 学 的 种 规 概念 ， 以 及 如 何在 二 态 量子 系统 
中 呈现 二 进 制 状态 。 他 的 想法 是 模拟 量子 计算 机 ， 但 他 不 想 使 用 传统 的 
计算 机 ， 而 是 希望 在 量子 系统 中 完成 这 些 模 拟 。 


1985 年 





大 卫 : 德 格 (David Deutsch) 在 牛津 大 学 发 表 了 一 篇 论文 ， 解 释 了 
二 态 量 子 系统 和 通用 量子 计算 机 。 此 论文 摘 述 了 如 何 让 二 态 量子 系统 实 
现 执行 简单 操作 的 功能 。 


1994 年 





KAS ARIK (Peter Shor) 提出 了 一 种 可 用 于 破解 加 密 系 统 的 算法 。 
由 于 许多 加 密 系 统 使 用 大 质数 ， 因 此 用 普通 计算 机 实施 破解 是 几乎 不 可 
能 的 事情 ， 但 如 果 在 量子 计算 机 上 运行 该 算法 ， 那 么 就 可 以 高 效 地 计算 
出 这 些 大 质数 。 该 算法 引起 了 计算 机 科学 家 的 极 大 兴趣 。 


1995 年 


美国 国家 标准 与 技术 研究 院 (NIST ) 和 加 州 理 工学 院 研 究 了 可 用 
于 保护 量子 计算 机 免 受 潜在 环境 影 啊 的 方法 。 他 们 的 研究 还 涉及 在 量子 
系统 中 使 用 磁场 来 捕获 和 冷却 离子 的 方法 。 





1996 年 至 今 


IBM、 麻 省 理工 学 院 、 加 利 福 尼 亚 大 学 和 哈佛 大 学 的 研究 人 员 研究 
了 将 核磁 共振 用 于 处 理 液体 中 的 量子 信息 的 方法 。 为 了 减 小 信息 干扰 的 
影响 ， 他 们 使 用 多 个 分 子 表示 单个 量子 位 。 他 们 的 研究 表明 ， 核 磁 共 振 
可 以 作用 于 构成 流体 的 分 子 的 原子 核 上 ， 从 而 引起 自 旋 。 这 可 能 导致 原 
子 自 旋 对 准 ， 也 将 背离 其 自 旋 值 ， 即 0 或 1。 当 电磁 场 变化 时 ， 研 究 人 员 
能 够 识别 出 可 能 导致 目 旋 的 振荡 ， 从 而 使 量子 位 中 的 状态 发 生 翻转 ， 使 








其 同时 具有 0 和 1 的 状态 。 研 究 人 员 还 观察 了 分 子 之 间 的 相互 作用 ， 这 些 
相互 作用 可 被 利用 来 在 量子 位 内 创建 逻辑 门 。 研 完 团 队 构 建 出 了 2 位 量 
子 计算 机 ， 并 且 此 后 对 量子 计算 机 进行 了 改进 。 


18.2 ”量子 技术 竞赛 








全 球 各 国都 在 争取 实现 量子 计算 。 拥 有 量子 计算 机 提供 的 巨大 计算 
能 力 的 国家 肯定 会 比 其 他 国家 具有 更 大 的 优势 。 在 这 场 比赛 中 ， 中 灶 双 
方 都 对 旨 在 实现 量子 计算 的 研发 活动 进行 了 大 量 投资 。 这 将 迎 来 计算 的 
新 纪元 ， 并 且 最 终 导 人 致 当今 的 安全 解决 方案 发 生 右 干 变化 。 











欧洲 在 量子 计算 研究 方面 有 着 悠久 的 历史 ， 不 过 目前 似乎 显现 出 了 
落后 的 迹象 。 欧 洲 只 采取 了 一 些小 而 隐秘 的 举动 ， 在 2016 年 ， 欧 洲 表 示 
将 联合 资助 一 项 10 亿 欧元 的 量子 技术 研究 。 该 研究 的 目的 是 实现 量子 通 
信 、 计 算 、 仿 真 和 传 感 。 欧 洲 也 在 探索 其 他 国家 所 没有 的 领域 。 在 其 10 
年 量子 技术 路 线 图 中 ， 包 括 了 有 关 量 子 软件 和 量子 控制 的 研发 活动 。 由 
于 欧洲 的 路 线 图 更 加 清晰 和 公开 ， 因 此 让 我 们 看 一 下 欧洲 感 兴趣 的 领 
域 ， 这 将 对 所 有 人 都 至 关 重 要 。 











18.2.1 量子 通信 


如 前 所 述 ， 量 子 计 算 的 主要 特点 之 一 是 它 将 其 禾 当 前 使 用 的 加 密 技 
术 。 一 些 安 全 专家 一 直 在 争论 说 ， 可 以 通过 增加 密 钥 长 度 来 提高 现 有 加 
蜜 算法 的 安全 性 。 但 是 ， 量 子 计算 机 可 能 依然 具有 足够 的 能 力 来 破解 这 














些 密 钥 。 因 此 ， 需 要 建立 新 的 安全 标准 以 保护 通信 。 欧 洲 的 量子 路 线 图 
突出 了 这 一 点 ， 并 将 其 作为 重点 领域 之 一 。 欧 洲 硕 望 使 用 量子 计算 来 创 
建 刀 一 种 发 送 消 妃 的 机 制 ， 而 无 须 担 心 通信 的 隐私 性 受到 威胁 。 安 全 通 
信 非 党 重要 ， 当 前， 正 是 因为 通信 足够 安全 ， 所 以 电 丙 网 站 可 以 接受 客 
户 在 线 付 球 ， 人 们 可 以 将 登录 和 凭据 输入 网 上 银行 ， 并 且 可 以 相互 交换 其 
他 类 型 的 敏感 数据 。 如 条 没有 安全 的 通信 ， 这 些 事情 将 很 难 实现 。 量 子 
通信 和 面临 的 挑战 是 成 本 ， 因 为 涉及 的 系统 很 郧 贵 。 而 妨 一 个 挑战 是 ， 量 
子 通信 和 暂时 只 能 在 距离 不 超过 100 千 米 的 点 对 点 连接 中 工作 。 这 也 是 人 
们 开展 大 量 研究 ， 旨 在 把 信和 号 发 送 到 距离 更 远 的 量子 计算 机 的 原因 。 

















18.2.2 ”量子 计算 


量子 计算 这 个 领域 长 期 以 来 一 直 备 受 关 注 。 在 这 个 领域 里 ， 量 子 过 
程 将 用 于 数据 的 处 理 。 量 子 比特 将 代 丛 当今 计算 机 中 使 用 的 普 遂 比特 。 
欧洲 公布 了 为 实现 这 一 目标 而 进行 的 不 同方 法 的 研究 。 这 些 方法 当中 ， 
有 一 种 是 通过 将 数据 存储 在 被 磁场 或 原子 核 包 里 的 离子 中 来 实现 的 ， 男 
一 种 是 利用 非常 小 的 超 导 电 路 中 的 电流 ， 还 有 一 种 是 强制 让 光子 穿越 光 
子 电路 。 可 以 预见 的 是 ， 历 史 大 概率 将 在 量子 计算 的 世界 中 重 沉 。 就 像 
早期 的 电子 计算 机 一 样 ， 早 期 的 量子 计算 机 在 5 年 或 10 年 后 将 出 现 巨大 
的 飞跃 。 











18.2.3 ”量子 模拟 








模拟 是 计算 中 最 消耗 资源 的 活动 之 一 ， 普 通 计算 机 在 尝试 模拟 量子 


特性 时 面临 许多 挑战 。 但 是 ， 量 子 系统 本 号 可 以 用 来 模拟 量子 系统 的 其 
他 方面 。 做 到 这 一 点 的 核心 思路 是 制造 出 一 个 可 以 操纵 、 测 量 的 量子 系 
统 ， 然 后 用 这 个 量子 系统 来 模拟 目的 量子 系统 。 符 合 这 些 描述 的 广 为 人 
知 的 量子 系统 分 别 是 超 冷 原子 、 被 磁场 捕获 的 离子 ， 以 及 超 导 电 路 。 它 
们 可 以 用 来 模拟 更 高 级 的 量子 计算 属性 。 但 是 ， 这 并 不 像 看 起 来 那样 容 
易 。 即 使 我 们 现在 已 经 知道 了 这 些 量子 系统 ， 但 是 也 几乎 没有 任何 现 有 
技术 可 以 在 这 些 系 统 中 运行 量子 模拟 。 即 使 开发 出 了 能 够 进行 复杂 量子 
模拟 的 技术 ， 要 确保 模拟 的 正确 性 也 是 一 个 巨大 的 挑战 。 


18.2.4 ”量子 感 测 





为 了 开发 量子 相关 的 技术 ， 我 们 需要 有 明确 定义 的 方法 来 感知 或 测 
量 它 。 这 就 涉及 在 原子 尺度 上 进行 测量 。 在 这 种 规模 下 ， 变 化 发 生 的 时 
间 非 常 短暂。 有 一 些 理论 上 的 技术 可 以 实现 这 一 目标 。 量 子 时钟 是 其 中 
一 种 技术 。 如 前 所 述 ， 原 子 尺 上 度 上 的 变化 所 持续 的 时 间 非 常 短暂， 正常 
的 时 钟 可 能 不 足以 测量 出 它们 。 因 此 只 能 寄 希 望 于 量子 时 钟 ， 而 且 它 必 
须要 非常 精确 。 毕 竞 ， 原 子 大 小 的 传感器 必须 要 对 变化 非常 敏感 。 








18.2.5 ”量子 软件 





量子 计算 机 不 仅 是 对 当前 计算 机 的 简单 过 代 ， 还 将 是 一 种 新 型 的 计 
算 机 。 而 量子 计算 机 也 需要 新 型 软件 才能 运行 。 这 些 程序 的 编写 方式 与 
我 们 今天 日 常 所 见 的 程序 完全 不 同 。 如 今 ， 程 序 最 终 会 被 转换 为 0 和 1， 
以 便 处 理 占 能 够 理解 它们 。 而 在 量子 计算 机 里 ， 量 子 位 可 以 是 9， 可 以 








是 1， 还 可 以 既是 0 也 是 1。 这 将 使 量子 位 能 够 并 行 执行 多 个 计算 。 这 就 
是 量子 计算 机 如 此 强大 的 原因 。 但 是 ， 在 完成 这 些 计算 后 ， 我 们 还 需要 
把 计算 结果 提取 出 来 。 从 量子 位 中 提取 计算 结果 不 像 当 今 以 0 和 1 的 形式 
提取 结果 的 方法 那样 容易 ， 而 是 需要 非常 强大 的 算法 才能 提取 出 计算 结 
果 ， 问 题 在 于 几乎 没有 已 知 的 算法 可 以 从 量子 位 中 提取 出 结果 。 这 就 是 
量子 软件 引起 欧洲 特别 关注 的 原因 。 如 果 欧 洲 成 功 构建 出 可 以 在 量子 计 
算 机 中 运行 的 软件 ， 那 么 欧洲 将 在 量子 竞赛 中 领先 竞争 对 于 。 

















18.3 ”量子 技术 的 突破 





随 着 对 量子 计算 的 广泛 研究 ， 一 些 国家 在 技术 上 实现 了 突破 。 例 
如 ， 中 国 的 墨 子 号 量子 科学 实验 卫星 已 经 成 功 反 射 。 





其 次 ， 诸 如 谷歌 和 微软 之 类 的 公司 已 经 构建 出 了 量子 处 理 器 的 早期 
原型 。 据 报道 ， 现 有 处 理 吉 的 大 小 为 5 一 10 个 量子 位 。 在 微软 ， 有 一 些 
项 目 可 以 克服 量子 位 面临 的 环境 障碍 。 量 子 位 具有 独特 的 属性 ， 它 们 很 
容易 受到 干扰 ， 哪 怕 仅 仅 只 是 非常 轻微 的 干扰 。 量 子 位 还 有 一 个 特性 束 
是 可 以 同时 存在 既是 0 也 是 1 的 状态 。 量 子 位 还 可 以 发 生 纠 缠 ， 这 使 得 一 
个 量子 位 可 以 影响 其 他 量子 位 。 量 子 的 这 些 特性 意味 着 振动 或 外 部 电场 
可 能 会 使 量子 位 变 得 不 稳定 。 这 些 特性 也 限制 了 研究 人 员 ， 以 至 于 只 能 
构建 出 5 一 10 个 量子 位 的 测试 系统 。 图 18-1 所 示 是 谷歌 正在 开发 的 量子 
计算 机 的 照片 。 























谷歌 的 目标 是 建立 一 个 49 量 子 位 的 系统 ， 这 将 是 实现 量子 霸权 的 一 
次 尝试 。49 量 子 位 是 一 个 阐 值 ， 现 如 今 的 超级 计算 机 难以 逾越 这 个 障 
碍 。 没 有 任何 一 台 计 算 机 ， 其 至 是 超级 计算 机 也 不 能 满足 处 理 模拟 量子 
系统 所 需 的 呈 指 数 增长 的 内 存 和 带宽 需求 。 超 级 计算 机 可 以 模拟 10 一 20 
量子 位 的 量子 计算 机 的 功能 ， 但 是 当 接近 50 量 子 位 的 时 候 ， 超 级 计算 机 
也 无 能 为 力 。 研 究 人 员 非 常 有 信心 ，100 量子 位 的 计算 系统 可 以 变 得 足 
够 稳定 ， 进 而 可 以 执行 其 他 操作 。 他 们 预计 在 5 年 内 创建 出 10 万 量子 位 
的 计算 系统 ， 这 些 量子 计算 机 将 颠覆 许多 领域 和 行业 。 





假如 能 够 构造 出 100 万 量子 位 的 计算 系统 ， 以 目前 人 类 所 知 ， 谁 也 
无 法 预测 最 终结 果 将 会 如 何 。 


18.4 ”量子 技术 的 影响 











在 了 解 了 量子 技术 那 前 景 广阔 的 路 线 图 以 及 当前 量子 技术 的 突破 之 
后 ， 有 必要 了 解 一 下 量子 技术 所 种 来 的 影响 。 


18.4.1 通信 


如 前 所 述 ， 量 子 技术 能 够 破解 现 如 今 的 加 密 技 术 ， 但 同时 也 可 以 用 
量子 计算 系统 来 创建 新 的 安全 通信 和 方法， 因此， 全 球 可 能 会 诞生 新 的 更 
加 强大 的 安全 通信 网 络 。 现 如 今 的 加 密 方 法 并 非 旨 在 实现 无 法 破解 ， 而 
在 于 实现 难以 破解 。 但 是 ， 量 子 通 信安 全 机 制 将 被 设计 为 无 法 破解 。 


18.4.2 矿业 





量子 技术 的 发 展会 带 来 称 为 量子 传 感 的 新 型 传 感 方法 。 如 前 所 述 ， 
这 些 传 感 方法 将 非常 精确 ， 能 够 检测 到 非常 细微 的 变化 。 如 果 应 用 到 条 
丰 领域 ， 这 些 传 感 方法 将 能 够 更 准确 地 检测 夏 石 存储 层 ， 而 且 还 可 以 用 
来 检测 矿井 中 的 瓦斯 泄漏 或 者 其 他 故障 。 





18.4.3 ”金融 

当前 的 交易 算法 使 用 功能 强大 的 计算 机 ， 这 些 计算 机 可 以 轻松 地 根 
据 交 易 模式 识别 出 市 场 上 的 变化 。 而 量子 计算 将 创建 出 更 好 的 算法 ， 能 
够 更 好 地 检测 股票 和 外 汇市 场 上 的 变化 。 


18.4.4 ”防御 


量子 系统 的 传 感 能 力 将 在 国防 领域 友 挥 重要 作用 。 现 如 今 的 潜艇 和 


飞机 可 以 固 避 雷达 探测 ， 但 是 ， 量 子 技术 将 革新 现 有 的 传 感 方法 ， 隐 喘 
将 更 难 实现 。 由 于 量子 技术 基于 物理 定律 ， 因 此 它 能 够 模拟 用 于 战场 的 
更 快 、 更 轻 以 及 更 坚固 的 飞机 。 量 子 技术 也 将 是 锁定 攻击 目标 的 高 效 技 
术 。 


18.4.5 ”健康 


由 于 计算 能 力 的 限制 ， 卫 生 领 域 的 许多 研究 工作 迟 迟 难以 完成 。 由 
于 当今 计算 机 的 特点 ， 某 些 操作 缓慢 且 昂 贵 ， 例 如 核磁 共振 成 像 。 由 于 
当前 技术 的 局 限 性 ， 药 物 的 改进 或 者 发 明 也 非常 缓慢 。 量 子 计算 将 有 望 
解决 这 些 问题 。 量 子 计 算 将 为 卫生 部 门 提供 许多 解决 方 采 ， 并 显著 改善 
人 类 的 生活 质量 。 








18.4.6 ”能 源 





量子 技术 是 原子 级 别 的 搁 术 。 原 子 的 很 多 能 量 都 可 以 利用 ， 例 如 原 
子弹 可 以 产生 巨大 的 能 量 。 当 前 的 电池 技术 基于 锂 离子 ， 而 量子 计算 将 
引入 基于 其 他 离子 的 新 能 源 解决 方案 。 








18.4.7 大 数据 











大 数据 本 喘 束 是 一 种 创新 性 的 计算 方式 。 对 非 结构 化 数据 进行 处 理 
分 析 ， 可 以 从 中 获取 到 有 意义 的 信息 。 大 数据 面临 的 挑战 在 于 ， 由 于 所 
使 用 的 计算 机 的 特性 ， 其 运行 需要 大 量 的 时 间 。 而 量子 计算 将 极 大 地 提 





升 处 理 能 力 ， 因 此 ， 企 业 将 能 够 以 更 少 的 时 间 处 理 更 大 型 的 数据 集 。 


18.48 ”人工 智能 





通过 机 占 学 习 技 术 训 练 人 工 知 能， 这 个 过 程 并 非 一 践 而 就 。 机 器 需 
要 人 花费 大 量 时 间 来 学 习 不 同 的 数据 集 ， 这 主要 是 计算 能 力 的 限制 导致 
的 。 如 果 使 用 量子 计算 机 ， 机 器 学 习 的 过 程 将 变 得 非常 快 ， 最 终 可 能 诞 
生 所 谓 的 量子 人 工 智 能 。 


18.5 小结 





本 章 重 点 介绍 了 即将 改变 世界 的 量子 计算 技术 的 发 展 过 程 ， 详 细 介 
绍 了 量子 计算 ， 特 别 是 它 将 以 哪些 不 同 的 方式 影响 这 个 世界 。 本 章 还 介 
绍 了 从 提出 理论 到 第 一 台 量 子 计算 机 的 面世 之 间 量 子 计算 的 发 展 过 程 。 
随后 ， 本 章 介 绍 了 量子 领域 的 发 展现 状 ， 不 同 的 国家 在 量子 计算 领域 里 
进行 了 巨额 投资 ， 以 实现 量子 技术 的 重大 发 展 。 本 章 介 绍 了 欧洲 发 布 的 
量子 技术 发 展 路 线 图 ， 说 明了 其 希望 在 量子 技术 中 实现 的 目标 。 欧 洲 的 
重点 领域 是 量子 通信 、 量 子 计算 、 量 子 感 测 、 量 子 软件 和 量子 模拟 。 本 
章 对 量子 技术 中 一 些 显著 的 突破 进行 了 描述 ， 其 中 包括 中 国 的 黑子 号 量 
子 科 学 实验 卫星 ， 以 及 一 些 技术 巨头 的 量子 处 理 需 早期 原型 。 节 后 ， 本 
章 介 绍 了 量子 计算 在 不 同 领域 的 影响 。 
































以 上 便 是 本 书 的 所 有 内 容 。 本 书 着 重 于 介绍 网 络 安全 对 金融 的 影 
啊 。 本 书 首先 介绍 了 与 网 络 安全 相关 的 各 种 成 本 ， 然 后 介绍 了 各 种 常见 


的 从 个 人 和 企业 中 禄 取 数 据 和 钱 的 攻击 。 然 后 ， 本 书 介绍 了 这 些 攻击 所 
使 用 的 茶 些 途径 ， 其 中 最 主要 的 是 人 员 、 网 络 和 系统 。 本 书 还 介绍 了 审 
计 、 风 险 管 理 和 事件 处 理 这 些 作 为 缓解 网 络 犯罪 及 其 影响 的 重要 手段 。 
然后 本 书 介 绍 了 作为 数据 保护 的 最 后 一 层 安 全 防御 措施 的 加 密 技 术 。 最 
后 ， 本 书 介 绍 了 诸如 量子 计算 等 技术 领域 的 前 景 ， 并 解释 了 它们 将 在 不 
同 领域 产生 的 影响 。 














